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内 容 简 介 


本 书 着 眼 于 网 络 安全 工程 师 岗位 需求 ,结合 网 络 安全 部 署 和 发 展现 状 , 以 防范 企业 网 常见 网 络 攻击 为 
目标 ,以 企业 网 络 常见 安全 防护 技术 为 主导 ,以 配置 与 管理 企业 网 络 安全 设备 为 主线 ,以 3 个 学 习 情境 为 
流程 ,循序 渐进 地 讲解 了 相应 的 网 络 安全 工作 任务 。 本 书 以 任务 驱动 组 织 内 容 ,3 个 学 习 情境 共 设计 了 
16 个 工作 任务 ,并 在 每 个 工作 任务 后 面 都 安排 了 满足 职业 资格 考证 的 过 关 练 习 。 本 书 的 编写 以 提高 学 生 
应 用 能 力 为 宗旨 ,按照 企业 对 高 校 学 生 的 实际 需求 来 设计 学 习 情境 和 工作 任务 ,使 学 生 能 够 在 了 解 相关 理 
论 的 基础 上 ,具备 相应 的 实际 操作 技能 。 

本 书 可 作为 高 职高 专 计算 机 网 络 和 信息 安全 专业 教学 用 书 ,也 可 作为 大 中 专 院 校 .计算 机 培训 班 的 实 
训 指 导 教 材 , 还 可 作为 网 络 安全 技术 人 员 、 网 络 安全 爱好 者 、 网 络 管理 人 员 和 信息 安全 管理 人 员 的 参考 书 。 
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出 . 版 说 . 明 


信息 技术 是 当今 世界 社会 经 济 发 展 的 重要 驱动 力 ,网 络 技术 对 信息 社会 发 展 的 重要 性 
更 是 不 言 而 喻 。 随 着 互联 网 技术 的 普及 和 推广 ,人 们 日 常 学 习 和 工作 越 来 越 依赖 于 网 络 。 
目前 ,各 行 各 业 都 处 在 全 面 网 络 化 和 信息 化 建设 进程 中 ,对 网 络 技能 型 人 才 的 需求 也 与 日 俱 
增 ,计算 机 网 络 行业 已 成 为 技术 人 才 稀 缺 的 行业 之 一 。 为 了 培养 适应 现代 信息 技术 发 展 的 
网 络 技能 型 人 才 , 高 职高 专 院 校 网 络 技术 及 相关 专业 的 课程 建设 与 改革 就 显得 尤为 重要 。 

近年 来 ,众多 高 职高 专 院 校 对 人 才 培 养 模式 、 专 业 建 设 、 课 程 建 设 、 师 资 建设 、 实 训 基 地 
建设 等 进行 了 大 量 的 改革 与 探索 ,以 适应 社会 对 高 技能 人 才 的 培养 要 求 。 在 网 络 专 业 建 设 
中 ,从 网 络 工程 .网 络 管理 岗位 需求 出 发 进行 课程 规划 和 建设 ,是 网 络 技能 型 人 才 培 养 的 必 
由 之 路 。 基 于 此 ,我 们 组 织 高 校 教育 教 学 专家 、 专 业 负 责 人 、 骨 干 教师 ,企业 管理 人 员 和 工程 
技术 人 员 对 相应 的 职业 岗位 进行 调研 、 训 析 , 并 成 立 教材 编写 委员 会 ,对 课程 体系 进行 重新 
规划 ,编写 本 系列 教程 。 

本 系列 教程 的 编写 委员 会 成 员 由 从 事 高 职高 专 教育 的 专家 ,高 职 院 校 主管 教学 的 院 长 、 
系 主任 、 教 研 室 主 任 等 组 成 ,主要 编撰 者 都 是 院 校 网 络 专业 负责 人 或 相应 企业 的 资深 工 
程 师 。 

本 系列 教程 采用 项 目 导向 、 任 务 了 驱动 的 教学 方法 ,以 培养 学 生 的 岗位 能 力 为 着 眼 点 , 面 
向 岗位 设计 教学 项 目 , 融 教 .学 、 做 为 一 体 ,力争 做 到 学 得 会 .用 得 上 。 在 讲授 专业 技能 和 知 
识 的 同时 ,也 注重 学 生 职 业 素 养 . 科 学 思维 方式 与 创新 能 力 的 培养 ,并 体现 新 技术 、 新 工艺 、 
新 标准 。 本 系列 教程 对 应 的 岗位 能 力 包 括 计 算 机 及 网 络 设备 营销 能 力 、 计 算 机 设备 的 组 装 
与 维护 能 力 、 网 页 设计 能 力 、 综 合 布线 设计 与 施工 能 力 、 网 络 工程 实施 能 力 、 网 站 策划 与 开发 
能 力 、 网 络 安全 管理 能 力 及 网 络 系统 集成 能 力 等 。 

为 了 满足 教师 教学 的 需要 ,我 们 免费 提供 教学 课件 、 习 题解 答 、 素 材 库 等 ,以 及 其 他 辅助 
教学 的 资料 。 

后 续 , 我 们 会 密切 关注 网 络 技术 和 教学 的 发 展 趋 势 ,以 及 社会 就 业 岗位 的 新 需求 和 变 
化 ,及 时 对 系列 教程 进行 完善 和 补充 ,吸纳 新 模式 、 适 用 的 课程 教材 。 同 时 ,非常 欢迎 专家 、 
教师 对 本 系列 教程 提出 宝贵 意见 ,也 非常 欢迎 专家 、 教 师 积 极 参 与 我 们 的 教材 建设 , 群 策 群 
力 ,为 我 国 高 等 职业 教育 提供 优秀 的 \ 有 鲜明 特色 的 教材 。 
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近 几 年 来 , 随 着 网 络 应 用 的 飞速 发 展 , 企 业 网 中 各 种 网 络 攻击 事件 层出不穷 ,对 网 络 管 
理 员 和 网 络 安全 工作 者 提出 了 更 高 的 要 求 。 教 育 部 [2006]16 号 文明 确 指出 课程 建设 与 改 
革 是 提高 教学 质量 的 核心 ,也 是 教学 改革 的 重点 和 难点 。 高 等 职业 院 校 要 积极 与 行业 企业 
合作 开发 课程 ,根据 技术 领域 和 职业 岗位 ( 群 ) 的 任职 要 求 ,参照 相关 的 职业 资格 标准 ,改革 
课程 体系 和 教学 内 容 。 本 书 从 实际 出 发 ,以 工作 任务 的 形式 介绍 企业 网 中 常见 的 网 络 攻击 
行为 和 防御 手段, 以 及 企业 网 络 硬件 的 配置 和 管理 方法 。 

1. 课程 的 编写 原则 

教材 以 “工学 结合 ”为 理念 , 精 选 企业 网 中 网 络 所 受到 的 威胁 ,以 及 进行 安全 防护 管理 
的 完整 工作 过 程 ,按照 公司 的 拓扑 和 业务 需求 做 出 规划 ,并 根据 课程 的 内 容 和 特点 设计 各 种 
典型 应 用 的 工作 任务 ,做 到 学 习 过 程 和 工作 过 程 的 高 度 一 致 。 每 个 任务 的 学 习 过 程 以 工作 
过 程 为 导向 ,最 终 形成 学 生 的 职业 能 力 ,缩短 学 生理 论 学 习 与 实际 应 用 之 间 的 距离 。 教 材 过 
编 和 规划 的 知识 具有 专业 化 \ 体 系 化 \ 全 面 化 特征 ,能 体现 和 代表 当前 最 新 的 网 络 技术 发 展 
方向 。 将 市 场所 需 的 网 络 技能 融 进 若干 案例 中 进行 讲解 ,充分 体现 项 目 案例 型 动 的 课程 设 
计 思 想 。 

2. 课程 的 内 容 设计 

教材 共 设计 了 3 个 学 习 情境 ,每 个 学 习 情境 对 应 企业 网 络 中 不 同 的 安全 需求 。 学 习 情 
境 一 ; 企业 网 中 常见 网 络 攻 击 分 析 ; 学 习 情境 二 : 企业 网 中 常见 防护 技术 分 析 ; 学 习 情 
境 三 : 企业 网 中 主要 网 络 设备 的 安全 配置 。 每 个 学 习 情境 中 都 设计 了 若干 个 工作 任务 ,每 
个 工作 任务 为 具体 的 企业 需求 提出 解决 方案 和 措施 。 每 个 工作 任务 的 编写 以 “用 户 需求 与 
分 析 一 预备 知识 一 方案 设计 一 任务 实施 一 常见 问题 解答 一 过 关 练习 ”的 形式 组 织 ,深入 浅 出 
地 培养 学 生 的 职业 技能 。 教 村 表达 精练 ,准确 、 科 学 ,图 文 并 藏 ,以 提高 学 生 的 学 习 兴 趣 。 才 
材 的 编写 中 注重 对 学 生 学 习 方法 的 指导 ,体现 知识 的 联想 发 展 ,促进 学 生 自主 探索 、 温 故 知 
新 。 教 村 中 的 活动 设计 以 学 生 为 本 ,以 培养 学 生 的 职业 能 力 和 素质 为 目标 ,内 容 具体 ,并 具 
有 可 操作 性 。 


3. 课程 的 实施 环境 和 教学 方法 

教材 中 所 设计 的 工作 任务 绝 大 多 数 都 可 以 借助 虚拟 机 、 模 拟 器 等 软件 在 一 台 配 置 较 高 
的 计算 机 上 完成 ,使 学 生 可 以 在 课外 单机 环境 下 随时 完成 本 书 所 设计 的 知识 与 技能 的 学 习 。 
在 实 训 室 的 课 内 教学 则 至 少 每 2 人 配备 1 台 计 算 机 。 每 组 工作 台 包 括 一 台 交 换 机 、 一 台 防 
火 墙 、 一 台 VPN. 一 台 IDS 和 若干 根 网 线 。 工 作 任务 分 小 组 完成 。 每 组 6 一 8 名 同学 ,选择 
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一 名 组 长 承担 管理 工作 ,负责 任务 分 派 和 工作 安排 。 课 程 教师 可 以 根据 需要 随时 调整 任务 
内 容 , 负 责 技 术 咨 询 和 指导 工作 ,控制 任务 的 实施 。 


4. 课程 职业 认证 

校 企 合作 的 重要 意义 在 于 把 企业 对 人 才 的 技能 需求 直接 传递 到 课堂 教学 中 ,缩短 人 才 
的 培养 时 间 , 提 高 人 才 的 培养 效率 。 学 生 在 全 部 学 习 完 本 课程 后 ,可 以 根据 所 掌握 专业 知识 
的 深浅 程度 ,有 针对 性 地 参加 国家 软考 网 络 工程 师 或 网 络 管理 员 的 考试 ,以 证 明 个 人 的 职业 
能 力 , 加 强 就 业 的 竞争 力 。 


5. 学 习 和 交流 

为 了 便于 网 络 安全 课程 教师 之 间 、 教 师 与 行业 企业 专家 之 间 进 行 信息 安全 方面 的 经 验 
交流 ,我 们 建立 了 “信息 安全 技术 ”QQ 群 , 群 号 是 50235190。 本 教材 编者 的 邮箱 是 
guolin416@126. com。 通 过 这 些 方式 可 以 实现 广泛 交流 ,以 及 在 本 教材 中 所 涉及 的 课件 、 文 
档 和 视频 等 资源 的 共享 。 我 们 正在 建设 本 教材 对 应 的 课程 网 站 ,教材 所 涉及 的 资源 将 逐步 
上 网 以 方便 互相 学 习 和 交流 使 用 。 


6. 合作 和 致谢 

全 书 由 郭 琳 编著 。 在 本 书 的 编写 过 程 中 ,得 到 了 蓝 盾 信息 安全 技术 股份 有 限 公司 、 星 网 
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随 着 互联 网 的 飞速 发 展 ,网 络 的 安全 问题 显得 日 益 重要 。 每 一 台 与 互联 网 连接 的 计算 
机 都 有 可 能 成 为 黑客 的 攻击 对 象 。 那 些 防范 意识 较 差 或 者 对 网 络 安全 不 甚 了 解 的 用 户 ,都 
极 易 成 为 黑客 攻击 的 目标 。 当 计算 机 用 户 上 网 聊天 、 浏 览 网 页 、 下 载 文 件 时 ,无 论 是 登录 账 
号 ,密码 ,还 是 电子 邮件 ,甚至 涉及 商业 秘密 的 文档 操作 都 有 可 能 被 黑客 偷 帘 。 学 习 情境 一 
主要 对 黑客 的 定义 历史 ,常用 的 攻击 工具 及 手段 做 了 详尽 的 叙述 ,以 实际 的 案例 ,带领 大 家 
进入 黑客 的 世界 ,以 实例 的 方式 让 读者 了 解 黑客 的 攻击 手法 ,从 而 采取 各 种 防护 策略 ,让 黑 
客 无 从 下 手 , 让 系统 更 为 安全 。 

黑客 技术 就 像 一 把 双 刃 剑 , 它 可 以 人 侵 他 人 的 计算 机 ,但 是 也 可 以 通过 了 解 黑 客人 侵 的 
手段 ,知道 如 何 防护 自己 的 计算 机 ,以 保护 计算 机 不 受 他 人 的 入 侵 。 通 过 本 学 习 情 境 所 有 工 
作 任 务 的 实践 ,揭秘 黑客 攻击 的 手法 ,盘点 常见 的 黑客 命令 、 端 口 扫描 与 人 侵 、 局 域 网 嗅 探 、 
远程 控制 ,拒绝 服务 攻击 等 当前 比较 流行 的 黑客 入 侵 技术 ,让 大 家 对 常见 的 网 络 攻击 手段 了 
如 指 掌 ,以 使 用 攻防 互 渗 的 防御 方法 ,全 面 确保 用 户 的 网 络 安全 。 


本 学 习 情 境 需 要 完成 的 工作 任务 如 下 : 
工作 任务 一 了 解 常见 黑客 命令 
工作 任务 二 目标 系统 的 探测 

工作 任务 三 ”口令 破解 

工作 任务 四 网 络 监 听 工 具 的 使 用 
工作 任务 五 ”远程 控制 

工作 任务 六 拒绝 服务 攻击 


工作 任务 一 
9 见 黑客 命令 


11 用 户 需 求 与 分 析 


提起 网 络 安全 问题 ,人 们 便 不 由 自主 地 联想 到 黑客 ,将 他 们 和 破坏 网 络 安 全 、 瓷 取 网 络 
账户 等 问题 联系 起 来 。 由 于 少数 高 水 平 的 黑客 可 以 随意 和 人 侵 他 人 的 计算 机 ,并 在 被 攻击 者 
毫 不 知晓 的 情况 下 窃取 计算 机 中 的 信息 后 悄悄 退出 ,于 是 人 们 对 此 产生 了 较 强 的 好 奇 心 和 
学 习 黑 客 技术 的 欲望 ,并 在 了 解 黑客 攻击 技术 之 后 不 计 后 果 地 进行 尝试 ,给 网 络 带 来 了 极 大 
的 威胁 。 黑 客 进行 攻击 的 常见 理由 有 : 想 在 他 人 面前 炫 焰 自己 的 技术 ,让 他 人 更 崇拜 自己 ; 
看 不 惯 某 人 、 某 单位 的 某 些 做 法 ,攻击 他 们 的 计算 机 给 他 们 一 种 教训 ; 纯粹 为 了 好 玩 、 恶 作 
剧 ; 练习 ,为 了 成 为 一 名 高 手 做 实验 ; 窃取 数据 ,谋取 经 济 利益 。 其 实 黑 客 及 黑客 技术 并 不 
神秘 ,也 不 高 深 。 一 个 普通 的 网 民 在 具备 了 一 定 的 基础 知识 后 ,也 可 以 成 为 一 名 黑客 。 黑 客 
技术 是 一 把 双 刃 剑 , 通 过 它 既 可 以 入 侵 他 人 的 计算 机 ,又 可 以 了 解 黑客 的 入 侵 手 段 , 掌 握 保 
护 计算 机 ,防范 入 侵 的 方法 。 在 学 习 黑 客 技术 时 ,应 该 首先 明确 学 习 的 正确 目的 。 

黑客 常用 的 攻击 平台 是 DOS(Disk Operating System, 磁 盘 操 作 系 统 ), 它 采用 命令 提 
示 符 界面 ,直接 运行 系统 中 的 命令 提示 符 。 在 使 用 DOS 时 ,所 有 的 核心 启动 程序 都 被 临时 
存储 在 内 存 中 ,用 户 可 以 随意 使 用 。 黑 客 在 人 侵 的 过 程 中 会 使 用 各 种 网 络 命令 进行 探测 并 
获得 信息 ,这 些 命令 也 是 黑客 人 门 最 基本 的 要 求 。 熟 练 使 用 这 些 命令 ,将 为 信息 收集 和 安全 
防御 带 来 极 大 便利 。 在 这 一 任务 里 将 介绍 黑客 常用 的 一 些 命令 。 
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1.2.1 网 络 安全 简介 


随 着 信息 科技 的 迅速 发 展 以 及 计算 机 网 络 的 普及 ,计算 机 网 络 深入 政府 .军事 \ 文 教 、 金 
融 、 商 业 等 诸多 领域 ,可 以 说 网 络 应 用 无 处 不 在 。 资 源 共享 和 计算 机 网 络 安全 一 直 作为 一 对 
矛盾 体 而 存在 着 ,计算 机 网 络 资源 共享 程度 逐渐 提高 ,信息 安全 问题 也 日 益 突 出 。 

2012 年 1 月 16 日 ,中 国 互联 网 信息 中 心 CCNNIC) 发 布 ( 第 29 次 中 国 互联 网 络 发 展 状 
况 统计 报告 》。 报 告 显示 ,截止 2011 年 12 月 底 ,中 国 网 民 规模 达到 5. 13 亿 , 全 年 新 增 网 民 
5580 万 。 互 联网 普及 率 较 上 年 提升 4 个 百分点 ,达到 38.3% 。 用 手机 上 网 的 人 数 更 是 达到 
3.56 亿 , 同 比 增长 17.5%。 中 国 网 站 规模 达到 229. 6 万 , 较 上 年 增长 20% ,国家 顶级 域名 
.cn 的 注册 量 达 到 353 万 个 , 较 2011 年 中 增长 26000 多 个 。 团 购 用 户 达 到 6465 万 ,年 增长 高 
达 244.8%。 网 络 音 乐 .网 络 游戏 和 网 络 文学 等 娱乐 应 用 的 用 户 规模 有 小 幅 增长 ,但 使 用 率 
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均 有 下 滑 。 相 比 之 下 ,网络 视 频 的 用 户 规模 则 较 上 一 年 增加 14. 6% ,达到 3. 25 亿 人 ,使 用 
率 提升 至 63.4% 。 

网 络 应 用 已 经 渗透 到 现代 社会 生活 的 各 个 方面 ,包括 电子 商务 .电子 政务 .电子 银行 等 
领域 。 由 此 ,网 络 安全 不 仅 成 为 商家 关注 的 焦点 ,也 是 技术 研究 的 热门 领域 ,同时 也 是 国家 
和 政府 的 行为 。 信 息 安 全 空间 成 为 传统 的 国界 、 领 海 、 领 空 三 大 国防 和 基于 太空 的 第 四 国防 
之 外 的 “第 五 国防 ”。 

国家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 (简称 CNCERT/CC, 其 网 站 如 图 1-1 所 示 ) 在 
2012 年 7 月 发 布 的 (CNCERT 互联 网 安全 威胁 报告 ) 中 指出 ,2012 年 7 月 我 国 基础 网 络 运 
行 总 体 平稳 ,未 发 生 较 大 规模 网 络 安全 事件 ,但 存在 一 定数 量 的 针对 互联 网 基础 设施 的 拒绝 
服务 攻击 事件 。 政 府 网 站 和 人 金融 行业 网 站 仍然 是 不 法 分 子 攻 击 的 重点 目标 ,安全 漏洞 是 重 
要 联网 信息 系统 遭遇 攻击 的 主要 内 因 。 在 网 络 病毒 活动 情况 方面 ,境内 感染 网 络 病毒 的 终 
端 数 约 为 340 万 个 。 其 中 ,境内 被 木马 或 僵尸 程序 控制 的 主机 IP 约 为 80 万 个 , 按 地 区 分 布 
感染 数量 排名 前 三 位 的 分 别 是 广东 省 、 江 苏 省 和 浙江 省 。 境 外 木马 或 僵尸 网 络 控制 服务 器 
IP 数量 为 7235 个 ,主要 分 布 于 美国 .日 本 、 韩 国 。 全 球 互联 网 约 2208 万 个 主机 IP 感染 飞 
客 蠕虫 , 按 国家 感染 数量 排名 前 三 位 的 分 别 是 中 国 大 陆 、 巴 西 .印度 。 境 内 感染 飞 客 蠕虫 的 
主机 IP 约 为 260 万 个 ; 在 捕获 新 增 网 络 病毒 文件 中 , 按 网 络 病毒 名 称 统计 新 增 665 个 , 较 
上 月 大 幅 增 长 50. 5% , 按 网 络 病毒 家 族 统计 新 增 12 个 , 较 上 月 大 幅 增长 140.0%; 在 网 站 
安全 方面 ,被 自 改 网 站 数量 为 1579 个 ,其 中 代号 “ 残 爱 泪痕 ”“ 左 泪 ”" 和 “Learner” 的 攻击 者 
对 境内 网 站 进行 了 大 量 算 改 。 按 地 区 分 布 排名 前 三 位 的 分 别 是 北京 市 .江苏 省 、 广 东 省 ,被 
算 改 数量 最 多 的 是 . com 和 . com. cn 域名 类 网 站 ,被 算 改 的 政府 类 网 站 数量 为 193 个 , 占 境内 
被 算 改 网 站 总 数 的 12.2%。 境 内 被 植 入 后门 的 网 站 数量 为 5396 个 ,其 中 政府 网 站 有 435 个 ， 
境外 2715 个 IP 通过 植 入 后门 对 境内 3584 个 网 站 实施 远程 控制 ,主要 位 于 美国 .韩国 和 印 
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图 1-1 “国家 互联 网 应 急 中 心 ” 网 站 


和 甘 作 任务 一 了 解 常见 黑客 命令 


尼 等 国家 或 地 区 。 针 对 境内 网 站 的 仿冒 页 面 数 量 为 1432 个 ,涉及 域名 874 个 ,IP 地 址 
184 个 ; 安全 漏洞 方面 ,国家 信息 安全 漏洞 共享 平台 (CCNVD) 收 集 整 理 信息 系统 安全 漏洞 
596 个 ,其 中 高 危 漏洞 233 个 ,可 被 利用 来 实施 远程 攻击 的 漏洞 有 548 个 。 受 影响 的 软 硬 件 系 
统 厂商 包括 Apache、Apple、.Google、Cisco HP 、IBM、Linux、Microsoft\Mozilla、 Symantec、 
WordPress 和 Oracle 等 。 按 漏洞 类 型 排名 前 三 位 的 分 别 是 应 用 程序 漏洞 ` Web 应 用 漏洞 、 
操作 系统 漏洞 ; 垃圾 邮件 方面 , 共 接 收 6934 件 垃圾 邮件 事件 举报 ; 事情 受理 方面 ， 
CNCERT 接收 网 络 安全 事件 报告 1623 件 , 数 量 最 多 的 分 别 是 网 页 仿冒 类 事件 802 件 ,漏洞 
类 事件 675 件 。 


1.2.2 黑客 的 定义 


黑客 是 对 英语 hacker 的 翻译 ,hacker 原意 是 指 用 和 作 头 砍 此 的 工人 ,最 早 被 引进 IT 行业 
可 追溯 到 20 世纪 60 年 代 。 黑 客 破解 系统 或 者 网 络 基本 上 认定 为 一 项 业余 嗜好 ,通常 是 出 
于 自己 的 兴趣 ,而 非 为 了 赚钱 或 工作 需要 。 当 时 在 麻 省 理工 学 院 (MIT) 中 的 学 生 通 常 分 成 
两 派 ,一派 是 tool, 意 指 “ 乖 乖 学 生 ”, 成 绩 都 拿 甲 等 ; 另 一 派 则 是 所 谓 的 hacker, 也 就 是 常 逃 
课 、 上 课 爱 睡觉 ,但 晚上 精力 充沛 ,喜欢 搞 课外 活动 的 学 生 。 真 正 的 一 流 hacker 并 非 整 天 不 
学 无 术 , 而 是 会 热衷 于 追求 某 种 特殊 嗜好 ,比如 研究 电话 ,无线电 ,或 者 是 计算 机 。 也 因此 后 
来 才 有 所 谓 的 computer hacker 出 现 , 意 指 计算 机 高 手 。 有 些 人 很 强调 黑客 和 骇 客 的 区 别 ， 
认为 黑客 是 有 建设 性 的 , 骇 客 则 专门 搞 破坏 。 对 一 名 黑客 来 说 ,学 会 人 侵 和 破解 是 必要 的 ， 
但 最 主要 的 还 是 编程 。 对 于 一 个 骇 客 来 说 ,他 们 只 追求 入 侵 的 快感 ,不 在 乎 技术 ; 他 们 不 会 
编程 ,不 知道 入 侵 的 具体 细节 。 还 有 一 群 人 被 称 做 “ 白 帽 黑客" 或 “匿名 客 ”(sneaker) 或 “ 红 
客 ”, 他 们 通常 是 计算 机 安全 公司 的 雇员 ,并 在 完全 合法 的 情况 下 攻击 某 系 统 。 他 们 的 工作 
是 试图 破解 某 系统 或 网 络 ,以 提醒 该 系统 所 有 者 系统 的 安全 漏洞 。 


1.2.3 黑客 的 历史 


黑客 的 早期 历史 可 以 追溯 到 20 世纪 五 六 十 年 代 , 麻 省 理工 学 院 (MIT) 率 先 研制 出 “分 
时 系统 ”, 学 生 们 第 一 次 拥有 了 自己 的 计算 机 系统 。 不 久之 后 ,学 生 们 中 出 现 了 一 批 狂热 分 
子 , 称 自己 是 黑客 ,他 们 要 彻底 破坏 大 型 主机 的 控制 。 

1961 年 , 拉 塞 尔 的 3 位 大 学 生 编写 了 第 一 个 游戏 程序 “空间 大 战 ?。 其 他 学 生 也 纷纷 编 
写 出 更 多 好 玩 的 游戏 ,比如 象棋 程序 、 留 言 软件 等 。 他 们 属于 第 一 代 黑 客 , 开 发 了 大 量 有 实 
用 价值 的 应 用 程序 。 

20 世纪 60 年 代 中 期 ,贝尔 实验 室 的 邓 尼斯 .里 奇 和 肯 ， 汤姆 森 编写 出 UNIX 操作 系 
统 和 C 语言 ,推动 了 工作 者 计算 机 和 网 络 的 成 长 。MIT 的 理 查 德 . 斯 德尔 曼 成 立 了 自由 软 
件 基金 会 ,成 为 国际 自由 软件 运动 的 精神 领袖 。 他 们 是 第 二 代 黑 客 的 代表 人 物 。 

1975 年 ,爱德华 。 罗伯茨 发 明 第 一 台 微 型 计算 机 。 美 国 的 计算 机 爱好 者 组 织 成 立 了 
“家 庭 酿造 电脑 俱乐部 ”, 相 互 交流 组 装 计 算 机 的 经 验 。 他 们 属于 第 三 代 黑 客 。 

1970 年 ,约翰 。 达 帕 尔 利用 口哨 玩具 开启 电话 系统 ,进行 免费 的 长 途 通话 。 他 因 盗 用 
电话 线路 而 多 次 被 捕 。 

1982 年 ,年 仅 15 岁 的 凯 文 。 米 特 尼 闻 入 了 北美 空中 防务 指挥 系统 ,这 是 首次 发 现 的 从 
外 部 入 侵 的 网 络 事件 。 他 后 来 连续 进入 美国 多 家 大 公司 的 计算 机 网 络 ,1984 年 向 圣迭戈 超 
级 计算 机 中 心 发 起 攻击 。 他 是 著名 的 世界 头号 黑客 , 曾 多 次 人 狱 , 被 指控 偷窃 了 数 以 千 计 的 
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文件 并 非法 使 用 多 张 信 用 卡 。 

1984 年 ,德国 汉堡 出 现 了 混沌 计算 机 俱乐部 (CCC)。1987 年 ,CCC 的 成 员 攻 入 了 美国 
宇航 局 的 SPAN 网络。 美国 黑客 戈 德 斯 坦 创办 了 著名 的 黑客 杂志 一 一 Type Hack Quarterly。 

1988 年 ,美国 康 奈 尔 大 学 学 生 罗 伯 特 。 莫 里 斯 向 互联 网 释放 蠕虫 病毒 ,导致 10% 以 上 
的 网 络 计算 机 同时 出 现 故障 ,造成 用 户 直接 经 济 损失 近 1 亿美 元 。 

1995 年 ,俄罗斯 黑客 列 文 在 英国 被 捕 。 他 被 指控 从 纽约 花旗 银行 非法 转移 至 少 370 万 
美元 。 
1999 年 ,美国 黑客 戴 维 ， 史 密斯 制造 了 梅 丽 莎 病毒 ,通过 互联 网 在 全 球 感 染 数 百 万 台 
计算 机 和 数 万 台 服 务 器 。 

2000 年 ,全 世界 黑客 联手 发 动 的 黑客 战争 袭击 了 互联 网 最 热门 的 八大 网 站 ,包括 
Yahoo 和 微软 ,造成 网 站 瘫痪 数 小 时 ,造成 经 济 损失 17 亿美 元 。 菲 律 宾 学 生 奥 内 尔 ， 古 效 
曼 制 造 了 爱 虫 病毒 , 因 感染 该 病毒 使 计算 机 瘫痪 造成 的 经 济 损失 高 达 100 亿美 元 。 


1.2.4 端口 概述 


端口 是 计算 机 与 外 界 通 信 交 流 的 出 口 。 根 据 端口 的 性 质 , 可 以 分 为 以 下 3 类 。 

(1) 公认 端口 ,也 称 为 “常用 端口 ,范围 为 0 一 1023 ,它们 紧密 绑 定 于 一 些 特定 的 服务 。 
通常 ,这些 端口 的 通信 能 够 明确 地 表明 某 种 服务 的 协议 。 这 种 端口 是 不 可 以 被 其 他 协议 占 
用 的 。 例 如 ,21 端口 就 是 FTP( 文 件 传输 协议 ) 的 端口 ,23 号 端口 是 Telnet 服务 专用 的 ,而 
80 端口 实际 是 HTTP 通信 所 使 用 的 。 这 些 端口 通常 不 会 被 黑客 程序 利用 。 

(2) 注册 端口 的 范围 是 1024 一 49151。 它 们 分 散 地 绑 定 于 一 些 服 务 ,也 就 是 说 ,有 很 多 
服务 绑 定 于 这 些 端口 。 这 些 端口 同样 用 于 许多 其 他 目的 ,大 多 数 没有 明确 的 定义 服务 对 象 ， 
不 同 的 程序 可 以 根据 实际 需要 自行 定义 。 

(3) 动态 和 私有 端口 号 的 范围 是 49152 一 65535 ,理论 上 不 应 该 把 常用 服务 分 配 在 这 些 
端口 上 。 但 实际 上 有 些 较为 特殊 的 程序 ,特别 是 一 些 木 马 程序 ,就 非常 喜欢 用 这 些 端口 , 因 
为 这 些 端 口 一 般 不 被 注意 ,非常 容易 隐蔽 。 
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方案 设计 如 表 1-1 所 示 。 
表 1-1 方案 设计 


任务 名 称 了 解 常见 黑客 命令 

1. 扫描 开放 的 端口 

(1) 使 用 netstat 命令 查看 

(2) 使 用 fport 工具 查看 

(3) 使 用 Active Ports 工具 查看 
2. 黑客 常用 的 人 侵 命令 

(1) net 命令 的 使 用 

(2) tracert 命令 的 使 用 

(3) route 命令 的 使 用 


任务 分 解 


甘 作 任务 一 了 解 常见 黑客 命令 


续 表 
1. 能 使 用 netstat 命令 查看 网 络 状 态 
2. 能 使 用 fport 工具 在 命令 行 窗口 查看 系统 当前 打开 的 端口 .进程 等 信息 
3. 能 使 用 Active Ports 工具 查看 本 地 计算 机 的 开放 端口 信息 
4. 能 使 用 net user 命令 显示 修改、 添加 或 删除 账户 
5. 能 使 用 net localgroup 命令 提升 、 降 低 账 户 权 限 
6. 能 使 用 net share 命令 创建 删除 共享 资源 
7. 能 使 用 net start/stop 命令 启动 ,停止 Windows 网 络 服务 
8. 能 使 用 net send 命令 向 网 络 的 其 他 用 户 ,计算 机 发 送 消息 
9. 能 使 用 net view 命令 显示 域 列表 、 计 算 机 列表 或 指定 计算 机 共享 资源 列表 
10. 能 使 用 tracert 命令 确定 IP 数据 包 访 问 目标 所 通过 的 路 径 
11. 能 使 用 route 命令 查看 ,添加 ,修改 和 删除 路 由 条 目 


能 力 目标 


.了解 网络 安全 的 重要 意义 
. 熟悉 黑客 的 定义 

. 了解 黑客 的 发 展 历史 

. 熟悉 黑客 人 侵 的 一 般 过 程 


知识 目标 


. 掌握 网 络 安全 行业 的 基本 情况 

. 培养 良好 的 职业 道德 

. 培养 创新 能 力 

. 树立 较 强 的 安全 ,节约 、 环 保 意 识 
. 培养 良好 的 沟通 与 团队 协作 能 力 


1 
2 
3 
4 
5. 了 解 端口 的 作用 和 分 类 
1 
2 
素质 目标 | 3 
4 
5 


14 任务 实施 


一 般 来 说 ,黑客 对 计算 机 进行 攻击 的 步骤 大 致 相同 ,主要 包括 扫描 漏洞 试探 漏洞 取得 
权限 与 提升 权限 .木马 入侵、 建立 后 门 与 清理 痕迹 。 其 中 ,扫描 系统 开放 的 端口 \ 创 建 用 户 、 
提升 用 户 权限 等 操作 均 可 以 使 用 系统 自 带 命令 完成 。 


1.4.1 任务 1: 扫描 开放 的 端口 


1. 任务 目标 
熟练 掌握 使 用 系统 自 带 命令 netstat 命令 查看 网 络 连接 情况 ,熟悉 使 用 第 三 方 工具 
fport 工具 和 Active Ports 工具 扫描 系统 开放 的 端口 信息 。 


2. 工作 任务 

(1) 使 用 netstat 命令 查看 ; 

(2) 使 用 fport 工具 查看 ; 

(3) 使 用 Active Ports 工具 查看 。 


3. 工作 环境 
(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 
(2) 软件 工具 : fport、Active Ports。 
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4. 实施 过 程 

(1) 使 用 netstat 命令 查看 

netstat 命 命令 用 来 查看 网 络 状 态 , 其 操作 简便 ,功能 强大 ,主要 用 于 显示 与 IP、TCP、UDP 
以 及 ICMP 有 关 的 统计 数据 ,一 般 用 于 检验 本 机 与 远程 计算 机 各 端口 的 网 络 连 接 情况 。 

netstat 的 命令 格式 为 

netstat [-a] [-b] [-e] [Co [-o] Cp proto] [-r] [-s] [-v] [interval] 
其 中 ,选项 [-a] 用 于 显示 活动 的 TCP 连接 、 侦 听 端 口 ; 选项 [-e] 用 于 显示 以 太 网 统计 的 信 
息 ; 选项 [-s] 用 于 显示 按 协 议 统计 的 信息 ; 选项 [-r] 用 于 显示 路 由 表 内 容 ; 选项 [-p] 用 于 显 
示 指 定 协议 的 连接 。 

命令 中 各 参数 的 操作 如 下 : 

O@ 选择 “开始 ”>“ ”菜单 项 ,打开 “i 
然后 单 击 “ 确 定 ” 按 钮 。 

@ 在 打开 的 命令 提示 符 窗口 中 输入 “netstat -an”, 按 “Enter” 键 即 可 查看 本 地 计算 机 所 
开放 的 端口 信息 ,如 图 1-2 所 示 。 


i ”对话 框 ,在 “打开 ”下拉 列表 文本 框 中 输入 


“cmd”， 


-上 |]x 
C:\Documents and Settings\Adninistratornetstat 
etive Connections 


Proto Local s Foreign Address 
9.0.0.6: L 
0.0.0.0: L 
8.0.8.8: L 
8.B.B.B: I 
L 


TIME_WAIT 
TIME_WAIT 

日 .B.B.B:B LISTENING 
.0:0 LISTENING 


图 1-2 “netstat -an” 窗 口 


@ 在 打开 的 命令 提示 符 窗口 中 输入 “netstat -a”, 按 
听 端 口 , 如 图 1-3 所 示 。 


Enter” 键 即 可 查看 所 有 连接 和 监 


and Settings \Adninistrat 


TIME_WAIT 
TENING 
TENING 


图 1-3 “netstat -a” 窗 口 
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@ 在 打开 的 命令 提示 符 窗口 中 输入 “netstat -b”, 按 “Enter” 键 即 可 查看 包含 于 每 个 连 
接 或 监听 端口 的 可 执行 组 件 , 如 图 1-4 所 示 。 


:http TIME_WAIT 
sl:http TIME_WAIT 


图 1-4 “netstat -b” 窗 口 


@ 在 打开 的 命令 提示 符 窗口 中 输入 “netstat -e”, 按 “Enter” 键 即 可 查看 以 太 网 数据 统 


dl Settings \Adninistratornetstat -e 


Received Sent 


6954 8833184 
81513 88983 
1579 153 

a 9 

a 9 


S51 


图 1-5 “netstat -e” 窗 口 


@ 在 打开 的 命令 提示 符 窗 口中 输入 “netstat -n”, 按 “Enter” 键 即 可 查看 以 网 络 IP 地 址 
代替 名 称 的 网 络 连接 情形 ,如 图 1-6 所 示 


s and Settings\Adninistratormnetstat —n 


图 1-6 “netstat -n” 窗 口 


@ 在 打开 的 命令 提示 符 窗口 中 输入 “netstat -o”, 按 “Enter” 键 即 可 查看 与 每 个 连接 相 
关 的 所 属 进程 ID, 如 图 1-7 所 示 。 


s and SettingsAhdnministratorynetstat -0 


Active Connections 


Proto Local hddress Foreign hddre State 
ICP 28898326-1843:3188 bogon:nethi s IIME_WAIT 


图 1-7 “netstat -o” 窗 口 
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@ 在 打开 的 命令 提示 符 窗口 中 输入 “netstat -p pro”,pro 可 以 是 tcp 或 udp, 按 “Enter” 
键 即 可 查看 pro 指定 协议 的 连接 信息 ,如 图 1-8 所 示 。 


画 -| 


je: Documents and Settings Adninistratormetstat -p tcp 


Rctive Connections 


Proto Local fddress For fddre: State 
TCP 29898326-1943:3198 bogon:nethbios-ss TIME_WAIT 


图 1-8 “netstat -p tcp” 窗 口 


@g 在 打开 的 命令 提示 符 窗口 中 输入 “netstat -r”, 按 “Enter” 键 即 可 查看 路 由 表 
图 1-9 所 示 。 


>: Docunents and Settings\A 


88 59 56 cB 98 1 
60 1f d@ 9 7d 
计划 程序 


-168.1 
-168.1 


图 1-9 “netstat -r” 窗 口 


@ 在 打开 的 命令 提示 符 窗口 中 输入 “netstat -s”, 按 “Enter” 键 即 可 查看 每 个 协议 的 配 
置 统计 ,包括 TCP、IP、UDP、ICMP 等 协议 ,可 以 与 -e 参数 结合 使 用 ,如 图 1-10 所 示 。 

(2) 使 用 fport 工具 查看 

使 用 fport 工具 可 以 将 系统 中 当前 打开 的 TCP/IP 和 UDP 端口 显示 出 来 ,还 能 查看 与 
端口 对 应 的 软件 的 路 径 和 进程 名 称 等 。 使 用 fport 工具 查看 本 地 计算 机 开放 的 端口 信息 的 
具体 操作 如 下 : 

QO@ 选择 “开始 ”>“ 运 行 ”菜单 项 ,打开 “运行 "对话 框 。 在 “打开 ”下 拉 列 表 文 本 框 中 输入 
“cmd”, 然 后 单 击 “ 确 定 ” 按 钮 。 


工作 任务 一 了 解 常见 黑客 命令 11 
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Received Packe 
Received Pac 
Output Reque 
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ICMPu4 Statistics 


图 1-10 “netstat -s” 窗 口 


@ 打开 命令 提示 符 窗 口 ,使 用 DOS 命令 进入 fport 工具 所 在 的 目录 ,然后 输入 “fport” 
命令 , 按 “Enter” 键 即 可 启动 fport 工具 

@ fport 工具 将 自动 扫描 本 地 计算 机 所 开放 的 端口 和 使 用 该 端口 的 相应 应 用 程序 ,并 
将 其 显示 出 来 ,如 图 1-11 所 示 


port 
9 — TCP/IP Process to Port Mapper 
ight 2998 hb undstone 。Inc- 
www-foundstone -com 


Process rt Proto Path 


:\Progran Piles\Iencent\QQMus 


UDP 
UDP 
UDP C:NProgran Files\Iencent\9Q\bin\QQ.exe 


图 1-11 “fport 工具 ”窗口 


(3) 使 用 Active Ports 工具 查看 

使 用 命令 提示 符 窗口 查看 端口 信息 较为 复杂 ,使 用 Active Ports 工具 查看 则 简单 得 多 。 
使 用 Active Ports 工具 查看 本 地 计算 机 开放 的 端口 信息 的 具体 操作 如 下 : 

J 安装 Active Ports 工具 ,步骤 比较 简单 ,不 再 袭 述 。 

@ 选择 “开始 ”一 “所 有 程序 ”>“Active Ports” 命 令 ,启动 Active Ports 工具 软件 。 

@ 在 打开 的 Active Ports 窗口 中 可 以 看 到 当前 系统 所 开放 的 端口 以 及 这 些 端口 所 对 
应 的 应 用 程序 ,如 图 1-12 所 示 。 
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= 
File Options 2 

[Process Po | IT| loc Port] Renote IP | 
yen 4 192 168 5 

op System 4 192. 168.5.2 137 

or System 4 0.0.0.0 445 

cr System 4 192.168.5.2 139 

or System 漳 0.0.0.0 445 

UP 1 sass，eXe 520 0.0.0.0 4500 

UP 1sass. exe S20 0.0.0.0 So 

oF lsass. exe S20 0.0.0.0 1027 

rm svchost exe 740 0000 135 

UDP svehost. exe 856 192. 168. 5.2 123 

UP svchost. exe 856 0.0.0.0 1026 

ToP svchost. exe 856 0.0.0.0 1025 

是 到 

Tinate Query Nones X Eit 


图 1-12 “Active Ports 工具 ”窗口 


1.4.2 任务 2: 黑客 常用 的 人 侵 命 令 


1, 任务 目标 

熟练 掌握 使 用 net 命令 完成 以 下 操作 : 显示 修改、 添加 或 删除 账户 ; 提升 ,降低 账户 权 
限 ; 创建 .删除 共享 资源 ; 启动 .停止 Windows 网 络 服务 ; 向 网 络 的 其 他 用 户 、 计 算 机 发 送 
消息 ; 显示 域 列表 ,计算 机 列表 或 指定 计算 机 共享 资源 列表 。 能 熟练 使 用 tracert 命令 确定 
IP 数据 包 访问 目标 所 通过 的 路 径 ; 使 用 route 命令 查看 添加、 修改 和 删除 路 由 条 目 。 


2, 工作 任务 

(1) net 命令 的 使 用 ; 
(2) tracert 命令 的 使 用 ; 
(3) route 命令 的 使 用 。 


3. 工作 环境 
两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 


4, 实施 过 程 

1) net 命令 的 使 用 

net 命令 功能 强大 ,以 命令 行 方式 执行 ,使 用 它 可 以 轻松 地 管理 本 地 或 远程 计算 机 的 网 
络 环境 以 及 各 种 服务 程序 的 运行 和 配置 。 它 还 包括 多 个 不 同 的 附加 命令 ,通过 这 些 命令 可 
以 实现 添加 删除. 显示 本 地 组 ,连接 计算 机 或 共享 资源 ,启动 .停止 服务 ,添加 删除 用 户 账 
户 ,提升 或 降低 用 户 权 限 等 各 种 重要 功能 。 下 面 介绍 net 命令 中 一 些 常 用 命令 的 基本 功能 。 

(1) net user 命令 

该 命令 主要 用 来 显示 账户 信息 ,修改 、 添 加 或 删除 账户 。 

下 面 以 创建 一 个 名 为 “a” 的 受 限 账户 ,然后 将 其 删除 为 例 ,介绍 net user 命令 的 使 用 
方法 。 

@ 选择 “开始 ”>“ 运 行 ”菜单 项 ,打开 “运行 "对话 框 。 在 “打开 ”下 拉 列 表 文 本 框 中 输入 
“cmd”, 然 后 单 击 “ 确 定 ” 按 钮 。 

@ 首先 创建 一 个 名 为 “a” 的 受 限 账户 。 在 命令 提示 符 窗口 输入 “net user a 123 /add” 命 
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令 , 然 后 按 “Enter” 键 , 即 创建 一 个 名 为 “a”、 密 码 为 *123” 的 受 限 账户 ,如 图 1-13 所 示 。 


图 1-13 ”添加 账户 


@ 打开 “计算 机 管理 ”的 本 地 用 户 和 组 , 即 可 看 到 刚 创 建 的 受 限 账户 ,如 图 1-14 所 示 。 
glzx| 


对 文件 四 操作 查看 WW 窗口 旭 帮助 = 地 |z 
甸 才 | 铝 困 | 国 毗 | 国 
计算 机 管理 林地 ) Ee [人 各 EE 
习 鹿 不 统 工具 
昌国 事件 查看 器 aaa 管理 计算 机 ( 城 ) 的 内 置 帐 记 
a Guest 供 来 宾 访 问 计算 机 或 访问 域 的 内 
3 加 轨 srotr_ 36. .cwicroso ft Corpora . 。 这 是 一 个 帮助 和 支持 服务 的 提供 
a 图 本 地 
“ 晶 设 备 管理 器 


磁盘 胡 片 整理 程序 
磁盘 管理 
由 好 服务 和 应 用 程序 ol | 是 


图 1-14 查看 受 限 账户 


@ 如 果 用 户 想 要 将 该 账户 提升 为 管理 员 账 户 ,可 以 在 命令 提示 符 窗口 中 输入 “net 
localgroup administrators a /add” 命 令 ,然后 按 “Enter” 键 ,如 图 1-15 所 示 。 


= 


图 1-15 提升 和 降低 账户 权限 


@ 打开 “计算 机 管理 ”查看 该 账户 的 属性 ,可 看 到 账户 a 已 经 隶属 于 管理 员 账 户 组 ,如 
图 1-16 所 示 。 

@ 如 果 用 户 想 要 将 该 账户 降级 为 受 限 账户 ,可 以 在 命令 提示 符 窗口 中 输入 “net 
localgroup administrators a /del” 命 令 , 然 后 按 “Enter” 键 。 此 时 打开 “计算 机 管理 ”查看 该 
账户 的 属性 ,可 看 到 账户 a 重新 仅 属于 users 组 ,如 图 1-17 所 示 。 

@ 如 果 用 户 想 要 删除 刚才 创建 的 账户 ,可 以 在 命令 提示 符 窗口 中 输入 “net user a /del” 
命令 ,然后 按 *Enter” 键 , 即 可 将 创建 的 “a? 账 户 删除 。 此 时 在 “计算 机 管理 ”的 本 地 用 户 和 组 
里 就 看 不 到 刚 创 建 的 受 限 账 户 a 了 。 

(2) net share 命令 

该 命令 的 作用 是 创建 .删除 共享 资源 。 

下 面 以 将 本 地 磁盘 C 设 为 最 多 允许 60 人 访问 的 共享 磁盘 为 例 , 介 绍 net share 命令 的 
使 用 方法 。 
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相当 。 属性 EE 
远程 控制 。 “| 。。 次 请 服务 配置 文件 。 | 。 技 入 | 远程 控制 。 | 。。 终 靖 服务 配置 文件 。 | 。 撤 入 | 
钢 隶属 于 | 配置 六 件 | 环境 | 会 活 | 党 规 妹 属 于 | 配置 文人 | 环境 | 会 话 | 
妹 属 于 员 ): 素 属于 加) 
FS 要 es 
Users 


确定 取消 应 用 以 确定 取消 应 用 (A) 
图 1-16 查看 账户 属性 (1) 图 1-17 查看 账户 属性 (2) 


Q@ 选择 “开始 ”>“ 运 行 "菜单 项 ,打开 “运行 "对话 框 。 在 “打开 ”下 拉 列 表 文 本 框 中 输入 
“cmd”, 然 后 单 击 “ 确 定 ” 按 钮 。 

@ 首先 将 本 地 磁盘 C 共享 ,并 设置 最 大 共享 人 数 为 60 人 。 在 命令 提示 符 窗 口 输入 
“net share c 一 c: /user:60” 命 令 ,然后 按 “Enter” 键 , 即 可 将 本 地 磁盘 C 设 为 最 多 允许 60 人 
访问 的 共享 磁盘 ,如 图 1-18 所 示 。 


图 1-18 共享 C 盘 命令 


@ 在 “我 的 电脑 "窗口 中 右 击 , 然 后 从 弹出 的 快捷 菜单 中 选择 “刷新 "菜单 项 可 以 查看 结 
果 , 此 时 在 磁盘 C 图 标 上 有 一 只 “小 手 ”, 如 图 1-19 所 示 。 
=I9lx] 
医 编 澡 上 查看 WJ 收 京 ) I 上 WU) 夺 有 中 [Ow| 


四 恨 -加 -人 | 月 失 局 六 NH 天 | 仿 证 多 | 国 - 


本 地 和 磁盘 C:) 本 地 磁盘 


有 可 移动 存储 的 设备 

忆 5.5 软 胡 从) 3.5 英寸 软盘 

动 mmnzyoL_cN 人 D:) Cp 驱动 器 S66 MB 0 字 节 Ey 
ql | 
B 个 对 象 | | 之 我 的 电脑 


图 1-19 C 盘 共 享 
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@ 如 果 想 要 取消 本 地 磁盘 C 的 共享 ,可 以 在 命令 提示 符 窗 口中 输入 “net share c /del” 


然后 按 Enter” 键 。 
如 果 要 将 本 地 磁盘 D 设置 为 隐藏 共享 ,可 打开 命令 提示 符 窗口 ,然后 输入 “net share 
d$ 二 d: “命令 ,再 按 “Enter” 键 ,如 图 1-20 所 示 , 即 可 将 本 地 磁盘 D 设 为 隐藏 的 共享 磁盘 。 


即 在 “我 的 电脑 "窗口 中 右 击 , 从 弹出 的 快捷 菜单 中 选择 “刷新 ”菜单 项 后 也 看 不 到 D 盘 图 标 
共享 的 “小 手 ”。 只 有 在 命令 提示 符 下 输入 “net share” 命 令 , 然 后 按 下 “Enter” 键 , 才 可 以 看 
到 隐藏 的 共享 磁盘 D, 如 图 1-21 所 示 。 


图 1-20 D 盘 隐 藏 共享 


图 1-21 查看 共享 磁盘 


@ 如 果 想 要 取消 本 地 磁盘 D 的 隐藏 共享 ,可 以 在 命令 提示 符 窗 口中 输入 “net share 
d$ /del” 命 令 , 然 后 按 “Enter” 键 。 这 时 ,在 全 令 提 示 符 下 输入 “net share” 命 令 , 然 后 按 下 
“Enter" 键 ,可 以 看 到 磁盘 D 没有 隐藏 共享 了 ,如 图 1-22 所 示 。 


tor)net share d$ /del 


C: WINDOWS 


图 1-22 删除 D 盘 隐 藏 共享 


(3) net start/stop 命令 


该 命令 的 作用 是 启动 /停止 Windows 网 络 服务 ,格式 为 
net start/stop [service] 


下 面 以 启动 信使 服务 为 例 , 介 绍 net start 命令 的 使 用 方法 。 
Q@ 禁用 的 服务 不 能 用 net start 命令 开启 ,否则 会 出 现 如 图 1-23 所 示 的 错误 提示 。 
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命令 提示 符 -lolx] 


nd Settings\Adninistratormnet start nessenger 


图 1-23 错误 提示 


@ 选择 “开始 ”所 有 程序 ”> 管理 工具 ”一 “服务 ”命令 ,启动 “服务 ”窗口 ,可 以 看 到 
“Messenger” 服 务 的 启动 类 型 是 “禁用 ”, 如 图 1-24 所 示 。 


=|D| xl 
文件 操作) 查看 WD 帮助 o) 
fo 才 || 回 | 轩 国 鞠 | 攻 | ，m 1 四 


ET 
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SE ee Disk Me 监 
钨 Leica Disk Ne ， 配 继 
和 pn 之 避 的 JET 3 
停止 ， 警 报 器 消息 不 会 被 传输 。 如 果 。 知 Wet Logon 为 手动 
服务 被 禁用 ,任何 直接 体 秽 于 此 服务 。 全 yietleetine Reno ， 允 禁用 
的 服务 格 无 法 启动。 和 Wetwork Connect .， 管 已 启动 手动 
Hetwork DIE 为 禁用 
乱 Wetwork DDE DSDM 管 禁用 
一 Metwork Locatio..， 收 已 启动 手动 
ST LI Security 为 手动 
忽 Perfornance Loe .， 收 手动 
人 PoPserr Wan . 。 已 启动 ”自动 
Flue ma Flay 使 已 B 动 自动 
Ret 手动 局 
加 sph eh 


扩展 人 本 下 了 
图 1-24 查看 “Messenger” 服 务 的 启动 类 型 

@@ 布 击 "Messenger” 服 务 的 属性 菜单 项 ,打开 “Messenger 的 属性 (本 地 计算 机 )” 对 话 
框 ,把 启动 类 型 设置 为 自动" 或“ 手动”, 然 后 单 击 “ 确 定 ” 按 钮 ,如 图 1-25 所 示 。 
EE 


| 对 1 俊昌 | 必 丰 关系 | 
服务 名 称 Nessenger 


显示 和 名称: Messenger 


人 
务 停 EN 习 


可 执行 文件 的 路 径 00) 
EC-\WINDOWS\systen32\svehost. exe ~k netsves 


局 动 类 型 E) 目 


芭 


服务 状态 : 已 停止 


启动 E 暂停 KE 


当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 


亡 枉 |] 陋 应 用 的 
图 1-25 设置 启动 类 型 为 “自动 ” 
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@ 选择 “开始 ”>“ 运 行 ”菜单 项 ,打开 “运行 "对话 框 ,在 “打开 ”下 拉 列 表 文 本 框 中 输入 
“cmd”, 然 后 单 击 “确定 ”按钮 。 


© 在 命令 提示 符 窗口 输入 “net start messenger” 命 令 , 然 后 按 “Enter” 键 , 即 可 启动 信 
使 服务 ,如 图 1-26 所 示 。 


6 可 


图 1-26 启动 信使 服务 


@ 在 命令 提示 符 窗口 输入 “net stop messenger” 命 令 ,然后 按 *Enter” 键 , 即 可 停止 信使 
服务 ,如 图 1-27 所 示 。 


图 1-27 停止 信使 服务 


(4) net send 命令 

该 命令 的 作用 是 向 网 络 的 其 他 用 户 、 计 算 机 发 送 消息 。 要 接收 消息 ,必须 运行 信使 
服务 。 

下 面 以 计算 机 A 向 计算 机 B(IP 地 址 为 192. 168. 5.1) 的 主机 发 送 消息 “hello!1” 为 例 ， 
介绍 net send 命令 的 使 用 方法 。 

Oz 在 计算 机 也 的 命令 提示 符 窗口 中 输入 “net start messenger” 命 令 , 然 后 按 “Enter” 
键 ,启动 信使 服务 。 

@ 在 计算 机 A 的 命令 提示 符 窗 口 输入 “net send 192. 168. 5. 1 hello!” 命 令 , 然 后 按 
“Enter" 键 ,显示 消息 已 经 送 到 计算 机 B, 如 图 1-28 所 示 . 


图 1-28 发 送 消息 


@ 在 计算 机 B 上 接收 到 来 自 计 算 机 A(GL-VM1) 习 
的 消息 ,如 图 1-29 所 示 。 从 GL-Wl 到 192.168.5.1 于 2010-11-21 19:36:54 的 消息 


hellol 
(5) net view 命令 


该 命令 的 作用 是 显示 域 列表 、 计 算 机 列表 或 指定 
计算 机 共享 资源 列表 。 
下 面 以 计算 机 A 查询 计算 机 B 的 共享 资源 列表 为 例 ,介绍 net view 命令 的 使 用 方法 。 
a 在 计算 机 A 的 命令 提示 符 窗口 中 输入 “net view 192. 168. 5. 1 命令 ,然后 按 “Enter” 
键 , 即 可 查看 到 计算 机 B 中 的 共享 资源 ,如 图 1-30 所 示 。 


图 1-29 收 到 消息 
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adninistratorynet view 192.168.5.1 


图 1-30 查看 共享 资源 


@ 在 计算 机 A 的 命令 提示 符 窗口 中 输入 “net view” 命 令 , 然 后 按 *Enter” 键 , 即 可 显示 
计算 机 A 的 当前 域 中 的 计算 机 列表 。 

2) tracert 命令 的 使 用 

tracert 命令 是 路 由 跟踪 实用 程序 ,用 于 确定 IP 数据 包 访问 目标 所 通过 的 路 径 。tracert 
命令 通过 发 送 包 含 不 同 IP 生存 时 间 字 段 TTL 的 ICMP 超时 通告 报 文 并 监听 回应 报 文 来 确 
定 从 一 台 主 机 到 网 络 上 其 他 主机 的 路 由 。tracert 命令 的 格式 为 

tracert [-d Ch maxmum_hops] [-j host-list] [-w timeoute] target_name 
其 中 ,[-d] 表 示 不 把 IP 地 址 解析 成 域名 ; [-h maxmum_hops] 表 示人 允许 跟踪 的 最 大 跳 数 ; 
[-j host-listj 表 示 经 过 的 主机 列表 ; [-w timeoutej 表 示 每 次 恢复 的 最 大 允许 延 时 。 

利用 tracert 命令 搜索 网 站 结构 信息 的 具体 操作 如 下 

QO@ 选择 “开始 ”>“ 运 行 "菜单 项 ,打开 “运行 "对话 框 。 在 “打开 ”下 拉 列 表 文 本 框 中 输入 
“cmd”, 然 后 单 击 “ 确 定 ” 按 钮 

@ 在 命令 提示 符 窗口 输入 “tracert www. sina. com. cn” 命 令 ,然后 按 “Enter” 键 , 即 可 在 

返回 的 结果 中 获知 数据 包 经 过 了 哪些 节点 ,如 图 1-31 所 示 。 


Adninistrator tracert www-sina-con-cn 


te to libra.sina.con.cn [202 
maxinun of 39 


race complete. 


图 1-31 搜索 网 站 结构 信息 


如 果 已 经 知道 了 局 域 网 内 某 个 目标 主机 的 名 称 ,可 以 使 用 tracert 命令 来 获取 该 主机 的 
IP 地 址 ; 也 可 以 通过 tracert 命令 追踪 那些 神秘 网 友 的 IP 地 址 ,了 解 其 中 都 经 过 了 哪些 中 
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转 站 。 

3) route 命令 的 使 用 

route 命令 一 般 用 于 管理 本 地 计算 机 的 路 由 表 , 使 用 它 可 以 查看 、 添 加 、 修 改 和 删除 路 由 
表 条 目 , 还 可 以 查看 本 地 计算 机 的 IP 信息 。 该 命令 只 有 在 安装 了 TCP/IP 之 后 才能 使 用 。 
route 命令 的 格式 为 


route [日 [-p] [command] [destination] [mask subnetmask] [gateway] [metric metric] [if interface] 


其 中 ,[- 提 表示 清除 路 由 表 中 所 有 的 网 关 条 目 ; [command] 可 以 是 add、delete 和 print, 分 别 
表示 添加 路 由 表 条 目 、 删 除 路 由 表 条 目 和 列 出 当前 路 由 表 条 目 ; [-pj] 与 命令 add 一 起 使 用 
时 ,将 使 增加 的 路 由 表 项 永久 有 效 , 即 使 重新 启动 系统 。 

使 用 route 命令 查看 本 地 IP 信息 的 具体 操作 如 下 : 

QO@ 选择 “开始 ”>“ 运 行 "菜单 项 ,打开 “运行 ”对话 框 。 在 “打开 ”下 拉 列 表 文 本 框 中 输入 
“cmd”, 然 后 单 击 “ 确 定 ” 按 钮 。 

@ 在 命令 提示 符 窗口 输入 “route print” 命 令 , 然 后 按 “Enter” 键 , 即 可 在 命令 提示 符 窗 
口中 显示 当前 主机 的 路 由 信息 ,如 图 1-32 所 示 。 


图 1-32 显示 路 由 信息 


路 由 表 中 的 Destination、Netmask、Gateway、Interface 和 Metric 参数 分 别 指定 路 由 表 
条 目 中 的 目标 IP、 子 网 掩 码 、 使 用 网 关 、 度 量 值 和 网 络 接 口 。 


1.5 常见 问题 解答 


1. fport 工具 和 命令 行 方式 查看 端口 信息 有 何不 同 ? 

答 : 使 用 fport 工具 查看 端口 信息 比 使 用 命令 查看 到 的 信息 更 详尽 ,也 更 有 利于 用 户 进 
行 判断 。 

2. 如 何 利 用 Active Ports 软件 关闭 端口 ? 

答 : Active Ports 软件 提供 了 关闭 端口 的 功能 ,只 需 选择 相应 的 进程 ,然后 单 击 
“Terminate process” 按 钮 即 可 。 


20 


网 络 安全 部 署 


3. 怎样 确定 计算 机 资源 共享 成 功 了 ? 

答 : 有 两 种 方法 验证 是 否 共享 成 功 , 第 一 种 方法 是 使 用 “net share” 命 令 进行 查看 ; 第 二 
种 方法 是 打开 “我 的 电脑 ”窗口 进行 验证 ,会 看 到 C 盘 图 标 下 有 一 只 “ 手 ”, 如 果 没 有 看 到 ,可 
以 右 击 并 从 弹出 的 快捷 菜单 中 选择 “刷新 ”, 即 可 看 到 。 

4. 忘记 系统 的 登录 密码 怎么 办 ? 

答 : 下 面 以 恢复 本 地 用 户 “magic” 口 令 为 例 ,说 明 解 决 忘记 登录 密码 的 问题 的 步骤 。 重 
新 启动 计算 机 ,在 启动 画面 出 现 后 马上 按 下 F8 键 ,然后 选择 “ 带 命令 行 的 安全 模式 ”。 运 行 
过 程 结束 时 ,系统 列 出 了 系统 超级 用 户 administrator 和 本 地 用 户 magic 的 选择 菜单 ,用 鼠 
标 单 击 administrator 进入 命令 行 模式 ,然后 输入 命令 “net user magic 123456 /add”, 强 制 将 
magic 的 用 户口 令 更 改 为 123456。 若 想 在 此 添加 一 个 新 用 户 ( 如 用 户 名 为 abc, 口 令 为 
123) ,请 输入 “net user abc 123 /add”, 再 用 “net localgroup administrators abc /add” 命 令 将 
用 户 提 升 为 管理 员 组 administrators 的 成 员 , 并 使 其 具有 超级 权限 。 

5. arp 命令 有 什么 用 ? 

答 : 地 址 解析 协议 (Address Resolution Protocol, ARP) 是 TCP/IP 协议 簇 网 络 层 的 一 
个 协议 ,为 每 个 网 络 节点 建立 IP 地 址 与 MAC 地 址 之 间 的 对 应 (上 映射) 关系。 命令 arp 用 于 
显示 和 修改 地 址 解析 协议 (ARP) 缓 存 中 的 项 目 。 选 项 [-a] 用 于 显示 所 有 接口 的 当前 ARP 
表 项 ; 选项 [-s] 用 于 添加 一 个 静态 ARP 表 项 ,将 某 个 IP 地 址 与 MAC 地 址 关联 ; 选项 [-d] 
用 于 删除 指定 的 ARP 表 项 。 当 网 络 感染 ARP 木马 时 ,主机 或 网 关 所 对 应 的 MAC 地 址 被 
修改 ,可 执行 arp -d 清除 ARP 缓存 表 , 再 使 用 arp -s 命令 重新 绑 定 正确 的 IP 地 址 与 MAC 
地 址 对 。 
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一 、 选 择 题 
1. 在 Windows 操作 环境 中 ,采用 ( ) 命 令 来 查看 本 机 IP 地 址 及 网 卡 MAC 地 址 。 
A. ping B. tracert C. netstat D. ipconfig 


2. 某 客户 端 采用 ping 命令 检测 网 络 连接 故障 时 ,发 现 可 以 ping 通 127. 0. 0. 1 及 本 机 
的 IP 地 址 ,但 无 法 ping 通 同一 网 段 内 其 他 工作 正常 的 计算 机 的 IP 地 址 ,该 客户 端的 故障 


可 能 是 ( ns 
A. TCP/IP 协议 不 能 正常 工作 B. 本 机 网 卡 不 能 正常 工作 
C. 本 机 网 络 接口 故障 D. 本 机 DNS 服务 器 地 址 设置 错误 


3. 下 面 关 于 ICMP 协议 的 描述 中 ,正确 的 是 ( 六 
A. ICMP 协议 根据 MAC 地 址 查找 对 应 的 IP 地 址 
B. ICMP 协议 把 公 网 的 IP 地 址 转换 为 私 网 的 IP 地 址 
C. ICMP 协议 根据 网 络 通信 的 情况 把 控制 报 文 发 送 给 发 送 方 主机 
D. ICMP 协议 集中 管理 网 络 中 的 IP 地 址 分 配 
4. 在 Windows 操作 系统 中 ,如 果 要 查找 从 本 地 出 发 ,经 过 3 个 跳 步 ,到 达 名 字 为 Sdpt 
的 目标 主机 的 路 径 , 则 输入 的 命令 是 ( 2 
A. tracert Sdpt -h 3 B. tracert -] 3 Sdpt 
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C. tracert -h 3 Sdpt D. tracert Sdpt -j 3 
5. 能 显示 TCP 和 UDP 连接 信息 的 命令 是 (  )。 
A. netstat -s B. netstat -e C. netstat -r D. netstat -a 
二 、 填空 题 
FTP 协 议 使 用 端口 , Telnet 协议 使 用 端口 , SMTP 协议 使 用 
端口 ,POP3 协议 使 用 端口 ,HTTP 协议 使 用 端口 ,DNS 协议 使 
用 端口 ,QQ 使 用 端口 。 
三 、 简 答题 


1. 一 般 系 统 攻击 有 哪些 步骤 ? 各 步骤 主要 完成 什么 工作 ? 
2. 什么 是 端口 ? 如 何 查看 本 地 计算 机 端口 的 开放 情况 ? 


、 实 操 题 

1. 在 自己 的 计算 机 上 使 用 netstat 命令 查看 网 络 状况 。 

2. 下 载 并 安装 Active Ports 工具 ,查看 自己 计算 机 上 的 端口 信息 。 
3. 使 用 tracert 命令 追踪 百度 网 站 (www. baidu. com) 的 IP 信息 。 


工作 任务 三 
”目标 系统 的 探测 
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目标 主机 信息 收集 的 方法 有 两 种 : 一 种 是 使 用 各 种 扫描 工具 对 目标 主机 进行 大 规模 的 
扫描 ,得 到 系统 信息 和 运行 的 服务 信息 ; 另 一 种 是 利用 各 种 查询 手段 得 到 与 目标 主机 相关 
的 一 切 信息 。 目 前 大 部 分 计算 机 安装 的 是 Windows 操作 系统 ,尽管 该 系统 的 稳定 性 和 安全 
性 随 着 版 本 的 提升 而 不 断 提高 ,但 仍 难免 会 出 现 这 样 或 那样 的 安全 隐患 ,这 些 安全 隐患 就 是 
漏洞 。 黑 客 通过 对 目标 系统 进行 扫描 发 现 这 些 漏洞 ,然后 使 用 病毒 和 木马 攻击 这 些 漏洞 和 
破坏 计算 机 系统 。 在 了 解 目标 主机 的 漏洞 和 弱点 后 ,黑客 甚至 能 探测 出 目标 主机 用 户 账号 
和 密码 等 信息 ,从 而 达到 试探 性 攻击 的 目的 。 
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2.2.1 漏洞 概述 


由 于 大 部 分 严重 的 网 络 安全 威胁 都 是 由 信息 系统 所 存在 的 安全 漏洞 诱发 的 ,所 以 及 时 发 
现 和 处 理 漏洞 是 安全 防范 工作 的 重 中 之 重 。 国 家 信息 安全 漏洞 共享 平台 (CNVD) 自 成 立 以 来 ， 
共 收 集 整 理 漏 洞 信息 35032 个 。 其 中 , 2011 年 新 增 漏洞 5547 个 ,包括 高 危 漏洞 
2164 个 ( 占 39%) .中 危 漏洞 2529 个 ( 占 45.6%%)、 低 危 漏洞 854 个 ( 占 15.4%)。 在 所 收录 的 上 
述 漏洞 中 ,可 用 于 实施 远程 网 络 攻击 的 漏洞 有 4692 个 ,可 用 于 实施 本 地 攻击 的 漏洞 有 559 个 。 
2011 年 ,CNVD 共 收 集 、 整 理 了 2164 个 高 危 漏洞 ,涵盖 Microsoft、 IBM、 Apple、 WordPress、 
Adobe、Cisco、Mozilla、Novell、Google、Oracle 等 厂商 的 产品 。 各 厂商 产品 中 高 危 漏洞 的 分 布 情 
况 如 图 2-1 所 示 , 可 以 看 出 ,涉及 Apple 产品 的 高 危 漏 洞 最 多 , 占 全 部 高 危 漏洞 的 7.6%。 

根据 影响 对 象 的 类 型 ,漏洞 可 分 为 操作 系统 漏洞 .应 用 程序 漏洞 、Web 应 用 漏洞 .数据 
库 漏洞 .网络 设备 漏洞 (如 路 由 器 、 交 换 机 等 ) 和 安全 产品 漏洞 (如 防火 墙 、 入 侵 检 测 系统 等 ) 。 
如 图 2-2 所 示 , 在 CNVD 2011 年 度 收集 整理 的 漏洞 信息 中 ,操作 系统 漏洞 占 8. 8% ,应 用 程 
序 漏洞 占 62.5% ,Web 应 用 漏洞 占 22.7% ,数据 库 漏洞 占 1. 1% ,网 络 设备 漏洞 占 3.7%, 安 
全 产品 漏洞 占 1. 2%。 

漏洞 中 最 危险 的 是 零 日 漏洞 ,一 旦 针对 这 些 高 危 漏洞 的 攻击 代码 在 补丁 发 布 之 前 被 公 
开 或 被 不 法 分 子 知晓 ,就 可 能 被 利用 来 发 动 大 规模 网 络 攻击 。2011 年 CNVD 共 收 录 了 
1340 个 零 日 漏洞 ,主要 涉及 服务 器 系统 ,操作 系统 数据 库 系 统 以 及 应 用 软件 等 。 
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图 2-1 2011 年 CNVD 收录 高 危 漏 洞 图 2-2 2011 年 CNVD 收录 漏洞 按 影响 
的 厂商 分 布 对 象 类 型 分 类 统计 图 


2011 年 ,CNVD 共 收 录 漏 洞 补丁 3707 个 ,并 为 大 部 分 漏洞 提供 了 可 参考 的 解决 方案 ， 
提醒 相关 用 户 注意 更 新 ,做 好 系统 加 固 和 安全 防范 工作 。 

2012 年 1 月 18 日 ,Oracle 公司 发 布 的 安全 更 新 修复 了 其 多 款 产品 存在 的 78 个 安全 漏 
洞 ,61 个 安全 漏洞 可 被 远程 利用 ,远程 或 本 地 攻击 者 可 以 进行 拒绝 服务 SQL 注入 和 跨 站 脚 
本 等 攻击 ,进而 获得 敏感 信息 ,操作 数据 库 , 执 行 任意 代码 或 提升 特权 。2012 年 2 月 ,IBM 
的 多 款 产品 被 披露 存在 多 个 安全 漏洞 ,远程 攻击 者 可 以 利用 漏洞 管理 数据 和 管理 员 密 码 、 上 
传 文件 ,以 系统 权限 执行 任意 代码 或 使 应 用 程序 崩溃 。 趋 势 科技 对 2012 年 第 一 季度 各 家 公 
司 的 系统 和 软件 安全 性 进行 了 一 次 调查 ,结果 发 现 ,苹果 所 有 产品 的 安全 漏洞 总 数 达 到 
91 个 ,是 业内 安全 漏洞 最 多 的 公司 。 前 十 家 公司 还 包括 甲骨 文 ,总 数 为 78 个 ,谷歌 的 总 数 
为 73 个 ,而 微软 的 只 有 43 个 。 据 国外 媒体 报道 ,Mac OS X 存在 一 个 漏洞 ,可 让 黑客 10 秒 
即 可 攻破 并 获取 用 户 的 苹果 ID。 如 果 黑 客 与 受 影响 用 户 同 在 一 个 Wi-Fi 网 络 , 黑 客 即 可 
10 秒 获取 该 用 户 的 苹果 ID。 苹 果 ID 绑 定 了 用 户 的 iTunes 和 App Store 的 信用 卡 , 因 此 ， 
泄露 了 苹果 ID 就 等 于 泄露 了 信用 卡 信息 。 黑 客 获取 苹果 ID 后 ,可 轻易 更 改 密码 和 邮箱 地 
址 。2012 年 4 月 ,国外 研究 人 员 发 现 Android 系统 存在 一 个 严重 漏洞 ,该 漏洞 可 以 被 黑客 
利用 发 起 DoS 攻击 ,导致 移动 设备 完全 瘫 病 。2012 年 5 月 ,Chrome 19 修复 了 系统 中 20 个 
安全 漏洞 ,其 中 7 个 漏洞 被 Google 简报 称 为 出 乎 意料 ”的 读 写 缺陷 ,还 有 11 个 漏洞 是 由 
Google 的 安全 小 组 或 委托 微软 找 出 的 。2012 年 7 月 13 日 ,雅虎 证 实 大 约 有 45 万 的 用 户 名 
和 密码 以 及 雅虎 和 其 他 公司 的 文件 被 偷 走 。 一 群 被 称 为 D33D 公司 的 黑客 ,公布 了 大 约 有 
453492 个 雅虎 的 用 户 名 和 密码 。 除 此 之 外 ,他 们 还 公布 了 包括 Gmail、 AOL、 Hotmail、 
Comcast\MSN SBC Global Verizon BellSouth 和 Live. com 用 户 和 密码 。 黑 客 是 利用 软 
件 漏洞 ,然后 使 用 SQL 注入 的 方法 盗 取 了 密码 。9 月 .甲骨文 Java 软件 中 发 现 了 最 新 的 
0day 漏洞 ,这 一 漏洞 几乎 出 现在 所 有 受 支 持 的 Java 版 本 中 ,通过 此 漏洞 ,黑客 可 在 超过 
10 亿 台 装 有 Java 的 Mac 和 PC 机 上 安装 恶意 软件 与 病毒 。 这 一 安全 漏洞 存在 于 Java 5、 
Java 6 和 Java 7 中 。2012 年 10 月 ,Cisco 产品 被 披露 存在 多 个 安全 漏洞 .攻击 者 利用 漏洞 
可 构建 恶意 Web 页 , 诱 使 应 用 程序 执行 ActiveX 控件 或 Java Applet, 执 行 任意 代码 ; 使 进 
程 崩 溃 或 者 通信 中 断 ,发 起 拒绝 服务 攻击 。 
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2.2.2 主要 端口 及 漏洞 介绍 


1. 135 端口 及 其 漏洞 

135 端口 主要 用 于 使 用 RPC(CRemote Procedure Call ,远程 过 程 调用 ) 协 议 并 提供 
DCOM( 分 布 式 组 件 对 象 模型 ) 服 务 。 通 过 RPC, 保 证 在 一 台 计算 机 上 运行 的 程序 可 以 顺利 
执行 远程 计算 机 上 的 代码 ; 使 用 DCOM 可 以 通过 网 络 直接 通信 ,能够 进行 跨 协议 的 多 种 网 
络 传输 。 易 易 大 名 的 “冲击 波 ? 病 毒 就 是 利用 RPC 漏洞 来 攻击 计算 机 的 。RPC 本 身 在 处 理 
通过 TCP/IP 的 消息 交换 部 分 有 一 个 漏洞 ,该 漏洞 是 由 于 错误 地 处 理 格式 不 对 的 消息 造成 
的 。 该 漏洞 会 影响 到 RPC 与 DCOM 之 间 的 一 个 接口 ,该 接口 侦 听 的 端口 就 是 135 。 


2. 139 端口 及 其 漏洞 

139 端口 是 为 NetBIOS Session Service 提供 的 ,主要 用 于 提供 Windows 文件 和 打印 机 
共享 以 及 UNIX 中 的 Samba 服务 。 在 Windows 中 ,要 在 局 域 网 中 共享 文件 ,必须 使 用 该 服 
务 。 开 启 139 端口 虽然 可 以 提供 共享 服务 ,但 是 常常 被 攻击 者 利用 ,比如 使 用 流光 、Super 
scan 和 X-Scan 等 端口 扫描 软件 扫描 目标 主机 的 139 端口 。 如 果 发 现 有 漏洞 ,可 以 试图 获取 
用 户 名 和 密码 ,因此 如 果 不 需要 提供 文件 和 打印 机 共享 ,建议 关闭 该 端口 。 


3. 3389 端口 

3389 端口 是 Windows 操作 系统 远程 桌面 的 服务 端口 ,可 以 通过 这 个 端口 ,用 “远程 桌 
面 "等 连接 工具 连接 到 远程 的 服务 器 。 如 果 连 接 上 了 .输入 系统 管理 员 的 用 户 名 和 密码 后 ,将 
可 以 像 操作 本 机 一 样 操作 远程 服务 器 ,因此 远程 服务 器 一 般 都 将 这 个 端口 修改 数值 或 者 关闭 。 
2.2.3 扫描 器 的 作用 及 工作 原理 

一 个 端口 就 是 一 个 潜在 的 通信 通道 ,也 就 可 以 认为 是 一 个 人 侵 通 道 。 对 目标 计算 机 端 
口 进 行 端口 扫描 ,能 够 得 到 许多 有 用 的 信息 。 扫 描 的 方法 有 很 多 ,可 以 手动 进行 扫描 ,也 可 
以 用 端口 扫描 软件 进行 扫描 。 手 动 进行 扫描 时 需要 熟悉 各 种 命令 ,还 要 对 命令 执行 后 的 输 
出 进行 分 析 。 用 扫描 软件 进行 扫描 时 ,许多 扫描 器 软件 都 有 分 析 数 据 的 能 力 , 通 过 端口 扫描 
可 以 得 到 许多 有 用 的 信息 ,从 而 发 现 系统 的 安全 漏洞 。 

扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ,使 用 扫描 器 可 以 不 留 痕迹 
地 发 现 远程 服务 器 各 种 TCP 端口 的 分 配 与 提供 的 服务 以 及 它们 的 软件 版 本 ,从 而 间接 或 直 
接地 了 解 远 程 主机 所 存在 的 安全 问题 。 

黑客 在 探测 目标 计算 机 都 开放 了 哪些 端口 .提供 了 哪些 服务 之 前 ,首先 要 与 目标 计算 机 
建立 TCP 连接 ,这 就 是 扫描 的 出 发 点 。 扫 描 器 向 目标 计算 机 的 TCP/IP 服务 端口 发 送 探测 
数据 包 , 并 记录 目标 主机 的 响应 ,通过 分 析 响 应 来 判断 服务 端口 是 打开 还 是 关闭 ,就 可 以 得 
知 端 口 提供 的 服务 或 信息 。 端 口 扫 描 也 可 以 通过 捕获 本 地 计算 机 或 服务 器 的 流入 、 流 出 IP 
数据 包 来 监视 本 地 计算 机 的 运行 情况 , 它 仅 能 对 接收 到 的 数据 进行 分 析 , 帮 助 用 户 发 现 目标 
计算 机 的 某 些 内 在 弱点 ,而 不 会 提供 进入 一 个 系统 的 详细 步骤 。 


2.2.4 常用 端口 扫描 技术 分 类 


1. TCP Connect Scan(TCP 连接 扫描 ) 
TCP 连接 扫描 是 最 基本 的 TCP 扫描 ,直接 连 到 目标 端口 并 完成 一 个 完整 的 3 次 握手 
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过 程 (SYN、SYN/ACK 和 ACK)。 操 作 系 统 提供 的 connect() 函 数 完 成 系统 调用 ,用 来 与 目 
标 计算 机 端口 进行 连接 。 如 果 端 口 处 于 侦 听 状态 ,那么 connect() 函数 就 能 成 功 , 和 否则 这 个 
端口 是 无 法 使 用 的 ,也 就 是 没有 提供 服务 。 这 种 扫描 技术 的 最 大 优点 是 不 需要 任何 权限 , 系 
统 中 的 任何 用 户 都 有 权利 使 用 这 个 调用 ; 其 次 是 速度 快 ,通过 同时 打开 多 个 套 接 字 来 加 速 
扫描 。 其 缺点 是 很 容易 被 发 觉 ,并 且 被 过 滤 掉 。 目 标 计算 机 的 日 志文 件 会 显示 一 连 串 的 连 
接 和 连接 出 错 的 服务 消息 ,并 且 能 很 快 地 将 它 关闭 。 


2. TCP SYN Scan(TCP 同步 序列 号 扫描 ) 

TCP 同步 序列 号 扫描 是 一 种 “ 半 开 放 ” 式 扫描 ,因为 扫描 程序 不 必 完 成 一 个 完整 的 TCP 
连接 , 即 扫描 主机 和 目标 主机 在 指定 端口 建立 连接 时 ,只 完成 前 两 次 握手 ,在 第 三 步 时 ,扫描 
主机 中 断 了 本 次 连接 ,使 连接 没有 完全 建立 起 来 。 扫 描 程序 发 送 的 是 一 个 SYN 数据 包 , 好 
像 准 备 打 开 一 个 实际 的 连接 并 等 待 反应 一 样 。 这 种 扫描 技术 的 优点 是 一 般 不 会 在 目标 计算 
机 上 留 下 记录 ; 缺点 是 必须 要 有 系统 管理 员 权限 ,不 适合 使 用 多 线程 技术 。 


3. TCP FIN Scan(TCP 结束 标志 扫描 ) 

一 些 防 火 墙 和 包 过 滤器 会 对 一 些 特定 的 端口 进行 监视 ,有 的 程序 能 检测 到 SYN 扫描 。 
FIN 数据 包 则 没有 这 些 麻 烦 。TCP FIN 扫描 的 思想 是 关闭 的 端口 会 用 适当 的 RST 来 回复 
FIN 数据 包 , 而 打开 的 端口 会 忽略 对 FIN 数据 包 的 回复 。 但 有 些 系统 不 管 端口 打开 与 否 都 
回复 RST, 此 时 这 种 扫描 方法 失效 。 这 种 方法 在 区 分 UNIX 和 NT 时 ,是 十 分 有 用 的 。 


4. IP Scan(IP 协议 扫描 ) 

IP 协议 扫描 不 直接 发 送 TCP 协议 探测 数据 包 ,而 是 将 数据 包 分 成 两 个 较 小 的 IP 协议 
段 ,这 样 就 将 一 个 TCP 协议 头 分 成 几 个 数据 包 , 使 过 滤器 很 难 探 测 到 。 但 有 些 程序 在 处 理 
这 些小 数据 包 时 会 有 些 麻 烦 。 


5, UDP Scan(UDP 协议 扫描 ) 

在 UDP 目标 端口 发 送 一 个 UDP 分 组 。 如 果 目 标 端口 以 “ICMP Port Unreachable 
(ICMP 端口 不 可 达 ) ?消息 作为 响应 , 则 该 端口 是 关闭 的 ,否则 就 是 打开 的 。 由 于 UDP 是 无 
连接 的 不 可 靠 协议 ,因此 这 种 方法 的 准确 性 很 大 程度 上 取决 于 与 网 络 及 系统 资源 使 用 率 相 
关 的 多 个 因素 。 当 试图 扫描 一 个 大 量 应 用 分 组 过 滤 功 能 的 设备 时 ,UDP 扫描 将 是 一 个 非常 
缓慢 的 过 程 。 如 果 在 互联 网 上 执行 UDP 扫描 ,结果 是 不 可 靠 的 。 


6. ICMP Echo 扫描 

通过 ping 命令 判断 一 个 网 络 上 的 主机 是 否 开机 时 非常 有 效 。ping 是 最 简单 的 探测 手 
段 ,用 来 判断 目标 是 否 活动 。 而 且 ping 命令 一 般 在 系统 内 核 中 实现 ,不 是 一 个 用 户 进程 , 因 
此 更 加 不 容易 被 发 现 。 


2.2.5 常用 扫描 器 介绍 


1. 端口 扫描 器 SuperScan 简介 

SuperScan 是 一 个 功能 强大 的 绿色 扫描 软件 ,不 需要 安装 即 可 运行 。 无 论 对 于 黑客 还 
是 网 络 管理 员 而 言 ,都 是 必 不 可 少 的 。 它 速度 很 快 ,探测 台湾 地 区 全 部 回应 值 小 于 200ms 
的 IP 段 仅 用 6 个 小 时 。 它 可 以 查看 本 机 IP 地 址 和 域名 ,扫描 一 个 IP 段 的 所 有 在 线 主机 以 
及 可 探测 到 的 端口 号 ,而 且 可 以 保存 和 导入 所 有 已 探测 的 信息 。 

SuperScan 的 主要 功能 如 下 : 
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(1) IP 和 域名 相互 转换 ; 

(2) 检验 目标 计算 机 提供 的 服务 类 别 ; 

(3) 检验 一 定 范围 目标 计算 机 是 否 在 线 和 端口 情况 ， 

(4) 工具 自 定义 列表 检验 目标 计算 机 是 否 在 线 和 端口 情况 ; 
(5) 自 定义 要 检验 的 端口 ,并 可 以 保存 为 端口 列表 文件 ; 
(6) 检测 目标 计算 机 是 否 有 木马 。 


2. 综合 扫描 器 X-Scan 简介 

X-Scan 是 国内 最 著名 的 综合 扫描 器 之 一 ,是 由 “安全 焦点 "开发 的 完全 免费 ,不 需要 安 
装 的 绿色 软件 ,界面 支持 中 文 和 英文 两 种 语言 ,包括 图 形 界面 和 命令 行 方 式 。 对 于 黑客 来 
讲 ,X-Scan 是 一 款 非 常 优秀 的 扫描 器 ; 对 于 网 络 管理 员 来 讲 , 它 也 不 失 为 一 个 非常 给 力 的 
网 络 安全 管理 工具 。 它 把 扫描 报告 和 * 安 全 焦点 ”网 站 相连 接 ,对 扫描 到 的 每 个 漏洞 进行 “ 风 
险 等 级 ?评估 ,并 提供 漏洞 描述 ,漏洞 溢出 程序 ,方便 网 关 测试 .修补 漏洞 等 。 

X-Scan 采用 多 线程 方式 对 指定 IP 地 址 段 或 单机 进行 安全 漏洞 检测 ,支持 插件 功能 ,更 
提供 了 图 形 界面 和 命令 行 两 种 操作 方式 。 扫 描 内 容 包括 远程 服务 类 型 .操作 系统 类 型 及 版 
本 ,标准 端口 状态 及 端口 信息 .SNMP 信息 .CGI 漏洞 .RPC 漏洞 .SSL 漏洞 ,以 及 SQL 服务 
器 .FTP 服务 器 、SMTP 服务 器 、POP3 服务 器 和 NT 服务 器 弱 口令 用 户 , NT 服务 器 
NetBIOS 信息 ,注册 表 信 息 等 。 扫 描 的 结果 保存 在 /log/ 目 录 中 ,index_* .htm 为 扫描 结果 
索引 文件 。 它 和 国内 其 他 著名 的 同类 软件 相 比 ,扫描 更 加 全 面 , 且 无 时 间 、IP 等 限制 ,更 适 
合 初学 者 使 用 。 用 它 来 检查 系统 的 漏洞 ,可 以 使 系统 的 安全 设置 更 方便 。 
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方案 设计 如 表 2-1 所 示 。 
表 2-1 方案 设计 
任务 名 称 目标 系统 的 探测 


1. 端口 扫描 器 SuperScan 的 使 用 

(1) 主机 名 (域名 ) 与 IP 的 互相 转换 

(2) 网 络 工具 的 使 用 

(3) 端口 检测 

2. 综合 扫描 器 X-Scan 的 使 用 

(1) 设置 扫描 参数 

(2) 利用 X-Scan 扫描 目标 计算 机 端口 ,生成 扫描 报告 
(3) 使 用 X-Scan 工具 进行 查询 


任务 分 解 


1. 能 使 用 SuperScan 进行 主机 名 (域名 ) 与 IP 的 互相 转换 
2. 能 使 用 SuperScan 检测 目标 计算 机 是 否 在 线 , 并 判断 网 络 状 况 
3. 能 使 用 SuperScan 对 主机 和 服务 进行 扫描 设置 
4. 能 使 用 SuperScan 检测 目标 计算 机 提供 的 服务 
能 力 目标 5. 能 使 用 SuperScan 检测 目标 计算 机 的 所 有 端口 
6. 能 使 用 SuperScan 扫描 目标 计算 机 的 特定 端口 
7. 能 对 X-Scan 设置 扫描 参数 
8. 能 使 用 X-Scan 扫描 目标 计算 机 端口 ,生成 扫描 报告 
9. 能 使 用 X-Scan 工具 查询 物理 地 址 


工作 任务 二 “目标 系统 的 探测 2 
EE 


续 表 


. 了 解 漏洞 的 分 类 

. 熟悉 扫描 器 的 作用 

. 了 解 扫描 器 的 工作 原理 

. 了 解 常用 端口 扫描 技术 分 类 
- 了 解 常用 的 网 络 探测 方法 


了 
| 
知识 目标 
5 
6. 了 解 常用 扫描 器 的 功能 及 优 缺 点 
1 
2 
3 
4 
5 


. 掌握 网 络 安全 行业 的 基本 情况 

. 培养 良好 的 职业 道德 

. 具有 良好 的 团队 协作 和 沟通 交流 能 力 
.培养 创新 能 力 

. 树立 较 强 的 安全 、 节 约 \ 环 保 意识 


素质 目标 
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2.4.1 任务 1: 端口 扫描 器 SuperScan 的 使 用 


1. 任务 目标 
使 用 SuperScan 进行 端口 扫描 ,检验 IP 是 否 在 线 , 实 现 IP 和 域名 互相 转换 ,检验 目标 
计算 机 提供 的 服务 类 别 , 检 验 一 定 范 围 的 目标 计算 机 是 否 在 线 和 端口 情况 。 


2. 工作 任务 

(1) 主机 名 (域名 ) 与 IP 的 互相 转换 ; 
(2) 网 络 工具 的 使 用 ; 

(3) 端口 检测 。 


3. 工作 环境 
(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相 连 。 
(2) 软件 工具 : SuperScan。 


4. 实施 过 程 

如 果 SuperScan 的 版 本 号 是 4.0, 下 面 根据 具体 功能 来 介绍 使 用 方法 。 

(1) 主机 名 (域名 ) 与 IP 互相 转换 

这 个 功能 的 作用 就 是 根据 域名 取得 IP, 比 如 根据 www. qq. com 得 到 IP; 或 者 根据 
IP 123. 129. 194. 144 取得 域名 。 

启动 SuperScan 4.0 后 ,在 其 主 界面 中 切换 到 “扫描 ”选项 卡 。 在 “IP 地 址 ?区 域 的 “主机 
名 /IP” 文 本 框 中 输入 要 转换 的 主机 名 或 者 IP 地 址 ,然后 单 击 后 面 的 转换 按钮 即 可 ,如 图 2-3 
所 示 。 

(2) 网 络 工 具 的 使 用 

SuperScan 提供 了 查找 主机 名 /IP .ping ICMP 跟踪 和 路 由 跟踪 4 种 工具 ,其 使 用 方法 
如 下 所 示 。 

@ 查找 主机 名 /IP: 在 “工具 ”选项 卡 中 的 “主机 名 /IP/URL” 文 本 框 内 输入 主机 名 、IP 
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扫 朱 | 主机 和 服务 扫 撕 设置 | 扫 的 过 项 | 工具 ”| Wndows 枚 举 | 关 于 | 
IP 地 址 


s/n [3] 


[开始 开 ”结束 下 

23. 129. 19. .. 
有 XI 9 , 清除 所 有 
结束 IF XK|| 123 .129 .194 .144 


从 文件 读 职 IP 地址 ->| 


图 2-3 “扫描 ”选项 卡 


或 者 URL, 然 后 单 击 “ 查 找 主机 名 /IP” 按 钮 ,如 图 2-4 所 示 。 


所 英 “| 主机 和 服务 扫描 设置 | 殷红 选项 工具 。 | findors 权 举 | 关于 | 


主机 名 NP/URL [152 166 5 2 
默认 Yhois 服 务 器 。 


图 2-4 查找 主机 名 /IP 


@ ping 的 主要 目的 在 于 检测 目标 计算 机 是 否 在 线 和 通过 反应 时 间 判 断 网 络 状况 。 使 
用 “Ping” 按 钮 ,如 果 能 ping 通 , 说 明 这 两 台 计 算 机 是 可 以 进行 数据 传输 的 ,如 图 2-5 所 示 。 


扫 揣 | 主机 和 服务 扫描 设置 | 扫 撕 选项 工具 。 |Windovs 枚 举 | 关于 | 


主机 名 HPNURL “sz 166 5 2 
默 Mwhoiz 服 务 器 


Response trom 1 
Response trom 1: 
Response trom 1: 


图 2-5 使 用 “Ping” 按 钮 


@ 路 由 跟踪 : 单 击 “ 路 由 跟踪 ”按钮 即 可 对 远程 主机 进行 路 由 跟踪 ,如 图 2-6 所 示 。 


了 村 
扫 措 ”| 主机 和 服务 扫描 设置 | 扫描 选项 工具 | inaors 权 举 | 关于 1 


主机 名/IP7URL [132 166.5 
了 Wai 服务 器 rhois networksclutions. com 


图 2-6 路 由 跟踪 


(3) 端口 检测 
@ 主机 和 服务 扫描 设置 : 切换 到 “主机 和 服务 扫描 设置 "选项 卡 , 对 主机 和 服务 扫描 设 


IE 作 人 人 “和 人 《人 2 一 


置 ,如 图 2-7 所 示 。 


图 2-7 “主机 和 服务 扫描 设置 "选项 卡 


@ 切换 到 “扫描 选项 "选项 卡 ,对 基本 扫描 做 一 些 设置 ,如 图 2-8 所 示 。 


2-8 “扫描 选项 ?选项 卡 


@ 设置 完毕 ,返回 “扫描 ?选项 卡 , 单 击 “ 开 始 ? 按 钮 即 可 开始 扫描 端口 ,扫描 的 相应 信息 
会 在 窗口 中 显示 出 来 。 

如 果 SuperScan 的 版 本 号 是 3.0, 下 面 根据 具体 功能 来 介绍 使 用 方法 。 

(1) 主机 名 (域名 ) 与 IP 互相 转换 

有 两 种 方法 来 实现 此 功能 。 
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OO 通过 “Hostname Lookup” 来 实现 。 在 “Hostname Lookup” 的 输入 框 输入 需要 转换 
的 域名 或 IP, 然 后 单 击 “Lookup” 按 钮 取得 结果 ,如 图 2-9 所 示 。 


Hostname Lookup 


192168.5.2 


Resolved [ovm! 


Me | Interfaces 
图 2-9 主机 名 (域名 ) 和 IP 互相 转换 


如 果 需 要 取得 本 地 计算 机 的 IP, 单 击 “Me” 按 钮 ; 同时 ， 


划 
可 以 取得 本 地 计算 机 的 IP 设置 情况 , 单 击 “ Interfaces” 按 钮 即 Address 19216852 


可 ,如 图 2-10 所 示 。 

@ 通过 “Extract From File” 实 现 。 这 个 功能 是 指 通 过 一 
个 域名 列表 来 将 域名 转换 为 相应 的 IP 地 址 ,方法 是 : 选择 
“Extract From File”, 然 后 单 击 向 右 箭头 按钮 ,选择 域名 列表 
进行 转换 。 

(2) ping 功能 的 使 用 

在 IP 的 “Start" 填 人 起 始 卫 , 在 “Stop” 填 人 结束 IP, 然 后 
在 “Scan type” 中 选择 “Ping only”, 单 击 “Start” 按 钮 就 可 以 检测 了 ,如 图 2-11 所 示 。 


图 2-10 本 地 IP 设 置 情况 


6Iy 
下 Hostname Lookup Configuration 
ER 一 Use | aaaan 
Resoked [ Me | Iniertsces 
Pp ] Timeout” | Scan bype Can 一 
| 人 | FE | 
szi6as5 3 | ls ty bi 
E 二 rr 
Connect | 6 Pngony 加 
PrevC | Ni 1 
Powe| wee rn! | ao | | eo Ede seis 
SlonorelP zero 三 © 条 selected ports in lst 0 
lgnorelP 255 三 A pots hom 
厂 EnactfomBe | | ooo CR | — [5 seal Stop 
Speed 
Max Aclive hosts 
Dpen ports 
[ 
Save 
Colapse ol 
Expand al 
Mn 2 


图 2-11 SuperScan 的 ping 功能 


在 以 上 设置 中 ,选择 “Ignore IP zero” 可 以 屏蔽 所 有 以 0 结尾 的 IP; 选择 “Ignore IP 255” 可 
以 屏蔽 所 有 以 255 结尾 的 IP。 

(3) 端口 检测 

端口 检测 可 以 取得 目标 计算 机 提供 的 服务 ,同时 ,可 以 检测 目标 计算 机 是 否 有 木马 。 

Oa 检测 目标 计算 机 的 所 有 端口 。 如 果 检 测 的 时 候 没有 特定 的 目的 ,只 是 为 了 了 解 目 标 
计算 机 的 一 些 情况 ,可 以 对 目标 计算 机 的 所 有 端口 进行 检测 。 一 般 不 提倡 这 种 检测 ,首先 ， 
因为 它 会 对 目标 主机 的 正常 运行 造成 一 定 的 影响 ,也 会 引起 目标 计算 机 的 警觉 ; 其 次 ,扫描 
的 时 间 很 长 ; 最 后 , 它 浪费 带宽 资源 ,对 网 络 正常 运行 造成 影响 。 


匡 作 任务 二 目标 系统 的 探测 


在 IP 输入 起 始 IP 和 结束 了 P 了 ,然后 在 “Scan type” 选 择 最 后 一 项 “All ports from 1 to 
65535”。 如 果 需 要 返回 计算 机 的 主机 名 ,可 以 选择 “Resolve hostnames”, 单 击 “Start” 按 钮 
开始 检测 。 图 2-12 所 示 是 对 一 台 目 标 计 算 机 所 有 端口 进行 扫描 的 结果 。 扫 描 完 成 以 后 , 按 
“Expand al 展开 ,可 以 看 到 扫 措 的 结果 。 第 一 行 是 目标 计算 机 的 IP 和 主机 名 ,从 第 二 行 开 
de 的 解释 。“Active hosts” 显 示 扫 描 到 的 活动 主机 数 

量 , 这 里 只 扫描 到 了 一 台 , 为 “1”;“Open ports” 显 示 目 标 计算 机 打开 的 端口 数 , 这 里 是 “7”。 
seerscc 3.00 TT =9|x| 
QQ Conliguration 
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图 2-12 端口 检测 


@ 扫描 目标 计算 机 的 特定 端口 ( 自 定义 端口 )。 其 实 大 多 数 时 候 并 不 需要 检测 所 有 端口 ， 
只 要 检测 有 限 的 几 个 端口 就 可 以 了 。 因 为 检测 的 目的 只 是 为 了 得 到 目标 计算 机 提供 的 服务 和 
使 用 的 软件 ,所 以 可 以 根据 个 人 目的 的 不 同 来 检测 不 同 的 端口 ,一般 只 要 检测 80(Web 服务 )、 
21(FTP 服务 ) 和 23(Telnet 服务 ) 就 可 以 了 ,即使 是 攻击 ,也 不 会 有 太 多 的 端口 检测 。 

单 击 “Port list setup” 按 钮 ,出 现 端 口 设置 界面 ,如 图 2-13 所 示 。 在 端口 设置 界面 中 , 双 
击 需要 扫描 的 端口 ,其 前 面 会 有 一 个 绿色 的 对 钩 。 选 择 的 时 候 ,注意 对 话 框 左边 的 
“Change/add/delete port info"” 和 “Helper apps in right-click menu” 是 对 此 端口 的 详细 说 明 
和 所 使 用 的 程序 。 在 此 选择 21、23 和 80 3 个 端口 ,然后 单 击 “Save” 按 钮 保存 选择 的 端口 为 
端口 列表 。 单 击 “OK” 按 钮 回 到 主 界面 。 在 “Scan type” 区 域 选择 “All selected ports in list”， 
然后 单 击 “Start” 按 钮 开始 检测 。 

使 用 自 定义 端口 的 方式 时 需要 注意 以 下 几 点 : 选择 端口 时 可 以 详细 了 解 端口 信息 ; 选 
择 的 端口 可 以 自己 取 名 保存 ,有 利于 再 次 使 用 ; 可 以 根据 工具 要 求 有 的 放 矢 地 检测 目标 端 
口 ,节省 时 间 和 资源 ; 根据 一 些 特定 端口 ,可 以 检测 目标 计算 机 是 否 被 攻击 者 利用 、 种 植木 
马 或 者 启动 不 应 该 启动 的 服务 。 

@ 检测 目标 计算 机 是 否 被 种 植木 马 。 现 在 有 很 多 木马 清除 工具 ,如 果 只 是 检测 木马 ， 
可 以 用 SuperScan 来 实现 ,因为 所 有 木马 都 必须 打开 一 定 的 端口 ,只 要 检测 这 些 特定 的 端 
口 ,就 可 以 知道 计算 机 是 否 被 种 植木 马 。 在 主 界面 选择 “Port list setup”, 将 出 现 端口 设置 
界面 ,然后 单 击 “Port list file” 的 下 拉 列 表 框 选择 “trojans. lst” 端 口 列表 文件 ,如 图 2-14 所 
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Params [Xa xp 
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Parameters: Ya = IP address, Xp = port 
图 2-13 扫描 目标 计算 机 的 特定 端口 
示 。 这 个 文件 是 软件 自 带 的 ,提供 了 常见 的 木马 端口 ,可 以 使 用 这 个 端口 列表 来 检测 目标 计 
算 机 是 否 被 种 植木 马 。 需 要 注意 的 是 ,有 必要 时 常 注意 最 新 出 现 的 木马 和 它们 使 用 的 端口 ， 
随时 更 新 木马 端口 列表 。 
到 


Change/add/delete portinfo Pon list file 
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Description pn Mange Save 
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图 2-14 检测 目标 计算 机 是 否 被 种 植木 马 


2.4.2 任务 2: 综合 扫描 器 X-Scan 的 使 用 


1. 任务 目标 
使 用 X-Scan 对 目标 计算 机 的 端口 状态 、 操 作 系 统 相 关 信息 进行 扫描 。 


2. 工作 任务 

(1) 设置 扫描 参数 ; 

(2) 利用 X-Scan 扫描 目标 计算 机 端口 ,生成 扫描 报告 ; 

(3) 使 用 X-Scan 工具 进行 查询 。 

3. 工作 环境 

(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 


工作 任务 二 “目标 系统 的 探测 23 
= 


(2) 软件 工具 : X-Scan。 


4. 实施 过 程 

(1) 设置 扫描 参数 

对 X-Scan 软件 设置 扫描 参数 的 具体 操作 如 下 : 

@ 双击 X-Scan 应 用 程序 图 标 启动 该 软件 ,然后 选择 “设置 >“ 扫描 参 数 ” 菜 单项 ,如 
图 2-15 所 示 。 


本 
文件 外 设置 名 查看 &) 工具 他) Language 帮助 也) 


je@lnel| 图 | 国志 | 占 
普通 信息 | 漏洞 信息 | 铺 误 信息 | 


Ix-Scan-v3.3 使 用 说 明 


| 一 .系统 要 求 : Windows 了 /20007XP/2003 
理论 上 可 运行 于 Windors 严 系 列 拘 作 系统 ， 推 荐 运行 于 inaovs 2000 以 上 的 Server 版 indows 系 统 。 


2-15 X-Scan 主 窗口 


@ 在 弹出 的 “扫描 参数 ?对 话 框 左 侧 的 区 域 中 选择 “检测 范围 ?选项 ,然后 单 击 右 侧 的 “ 指 
定 全 范围 "文本 框 后 的 “示例 ”按钮 ,在 “示例 "窗口 中 查看 有 效 示 例 格 式 , 如 图 2-16 所 示 。 

@ 单 击 “ 确 定 ” 按 钮 ,然后 在 右 侧 的 “指定 IP 范围 文本 框 中 根据 示例 格式 输入 IP 地 址 
段 。 这 里 输入 “192. 168. 5. 1-192. 168. 5.2”, 如 图 2-17 所 示 。 


日 全 局 设置 
反共 模块 指定 下 范围: 
过 [92. 168. 5. 1-192. 168.5.2| 示例 
Ee 
由 巴 件 设置 地 址 泪 
时 厂 从 文件 获取 主机 列表 
有 效 格式 : 一 
localhost 
we. target. com 
192. 168.0.1 
192. 168. 0. 1/24 
192 168 1. 1-192. 168.2. 100 
192 168 .0.1 192. 188. 1. 1-10, 192. 168.2. 1/24 
192 168.0-1.1 
192. 168.0. 1-1. 254 到 
192 168 0/24. 1 
192 168. 0.# 
el | | 三友 本 
册 定 _ | 


图 2-16 “示例 ”窗口 图 2-17 指定 IP 范围 
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图 在 对 话 框 左 侧 区 域 中 展开 “全 局 设置 "项 ,然后 选择 “扫描 模块 "选项 ; 在 中 间 列 表 框 
中 选中 扫描 时 需要 使 用 的 模块 前 的 复 选 框 ,如 图 2-18 所 示 。 


丙 - 
bP 
B 


ee 


区 


| 有 | Cue |] ws | 


图 2-18 选择 “扫描 模块 "选项 


@ 选择 “并 发 扫描 ”选项 ,在 其 中 的 “最 大 并 发 主机 数量 ”文本 框 中 输入 “10”, 在 “最 大 并 
发 线程 数量 "文本 框 中 输入 "100”, 如 图 2-19 所 示 。 


wm | 有 | Cw ] _w | 


图 2-19 指定 “最 大 并 发 主机 数量 ” 


@ 选择 “扫描 报告 "选项 ,设置 扫描 报告 文件 的 名 称 和 类 型 ,如 图 2-20 所 示 。 

@ 选择 “其 他 设置 "选项 ,然后 选中 “ 跳 过 没有 响应 的 主机 ” 单 选 按钮 ,再 选中 “ 跳 过 没有 
检测 到 开放 端口 的 主机 ”和 “使 用 NMAP 判断 远程 操作 系统 " 复 选 框 ,并 单 击 “ 确 定 ” 按 钮 ， 
如 图 2-21 所 示 。 

@ 展开 “插件 设置 ”项 ,然后 选择 “端口 相关 设置 "选项 ,设置 待 检 测 的 端口 和 检测 方式 ， 
并 单 击 “ 确 定 ” 按 钮 ,如 图 2-22 所 示 。 


目标 系统 的 探测 A 2 


192_168_5_1-192 1 


Erm 到 
到 


92 168 5_1-192 165 5 2 hostlist. txt 


vy 


2-21 “其 他 设置 "选项 设置 


图 2-22 “端口 相关 设置 ?选项 设置 


36 网 络 安全 部 署 
CE 


选择 “SNMP 相关 设置 ?选项 ,设置 在 扫描 时 获取 简单 网 络 管理 协议 的 相关 信息 ,如 
图 2-23 所 示 。 


2-23 “SNMP 相关 设置 ”选项 设置 


四 选择 “NETBIOS 相关 设置 ?选项 ,设置 需要 检测 的 NETBIOS 的 相关 信息 ,如 图 2-24 
所 示 。 


WW | _ wm | Cw ] _w | 


| 
图 2-24 “NETBIOS 相关 设置 ”选项 设置 


@ 选择 “漏洞 检测 脚本 设置 ?选项 ,选择 要 使 用 的 脚本 ,设置 脚本 运行 超时 时 间 和 网 络 
读 取 超时 时 间 ,如 图 2-25 所 示 。 

@@ 选择 “CGI 相关 设置 ?选项 ,对 通用 网 关 接 口 进行 设置 ; 选中 “用 “HEAD? 替 换 
“GET’”” 单 选 按 钮 ,如 图 2-26 所 示 。 

图 选择 “字典 文件 设置 "选项 ,再 在 右 侧 的 字典 列表 框 中 选择 需要 的 字典 文件 ,然后 单 
击 “ 确 定 ” 按 钮 关闭 “扫描 参数 ”对 话 框 ,如 图 2-27 所 示 。 


| 


图 2-25 “漏洞 检测 脚本 设置 选项 设置 
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图 2-26 “CGI 相关 设置 ?选项 设置 
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2-27 “字典 文件 设置 ”选项 设置 


本 Eee | 
2 
(2) 使 用 X-Scan 扫描 目标 计算 机 端口 ,生成 扫描 报告 
使 用 X-Scan 扫描 目标 计算 机 的 具体 操作 如 下 : 
@ 在 X-Scan 操作 界面 , 单 击 “ 开 始 扫描 ”按钮 , 按 设 置 对 目标 计算 机 进行 扫描 ,如 图 2-28 
所 示 。 
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2-28 X-Scan 操作 界面 


@ 扫描 完成 后 ,X-Scan 将 把 扫描 结果 保存 为 一 个 HTML 文件 并 打开 ,从 中 可 以 查看 
目标 计算 机 的 信息 ,如 图 2-29 所 示 。 
翅 Y-Scan Report - BicrosoE Iateraet lpLo olx) 
文件 中 编辑 外 ) 查看 吕 收藏 ) 工具 (TD 帮助 0 | 
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SE 
本 报表 列 出 了 被 检测 主机 的 详细 漏洞 信息 , 请 根据 提示 信息 或 链接 内 容 进 行 相应 修补 ， 
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E33 厂矿 厂 避 吏 量 及 
2-29 扫描 结果 
(3) 使 用 X-Scan 工具 查询 物理 地 址 


使 用 目标 主机 的 IP 地 址 或 主机 名 可 以 查询 到 该 IP 地 址 主机 的 其 他 一 些 基 本 信息 , 具 
体操 作 如 下 : 


工作 任务 二 ”目标 系统 的 探测 


@ 在 X-Scan 主 界面 的 菜单 栏 中 ,选择 “工具 ”>“ 物 理 地 址 查询 ”菜单 项 。 
@ 在 “工具 ”对 话 框 的 “物理 地 址 查询 ”选项 卡 中 输入 IP 地 址 或 者 主机 名 ,可 以 查询 到 
该 IP 地 址 主机 的 其 他 一 些 基本 信息 ,如 图 2-30 所 示 。 
EIx] 
物理 地 址 查询 | ARP query | whois | Trace zoute | Pine | 


王 地 址 /主机 名 
92. 168.5. 1 J 查询 主机 名 


EE 192.168.5.1 
;SAFE 
地 : 局域网 对 方 和 效 在 同一 内 部 网 


2-30 “物理 地 址 查询 ”选项 卡 


25 常见 问题 解答 


1. 扫描 的 作用 是 什么 ? 

答 : 通过 扫描 结果 ,可 以 看 到 在 计算 机 上 开放 了 哪些 端口 .启动 了 哪些 服务 。 如 果 看 到 
一 些 显示 为 未 知 的 或 看 上 去 可 疑 的 服务 ,可 以 记 下 端口 号 ,然后 通过 谷歌 或 百度 等 搜索 引擎 
进行 搜索 ,看 看 这 个 端口 具体 是 干什么 的 。 

2. 如 何 关闭 端口 ? 

答 : 在 计算 机 上 ,有 些 开放 的 端口 可 能 是 应 用 程序 所 需要 的 ,但 如 果 有 开放 端口 是 不 必 
要 的 ,例如 有 些 服 务 是 以 前 有 用 而 现在 已 经 不 用 的 ,那么 停止 这 些 服务 ,从 而 关闭 相应 的 开 
放 端 口 ,减少 安全 隐患 。 从 控制 面板 的 管理 工具 中 打开 “服务 ”管理 窗口 ,找到 需要 关闭 的 服 
务 ,将 其 启动 类 型 改 为 “禁用 ”, 即 可 停止 该 项 服务 。 

3. 如 何 屏蔽 139 端口 ? 

答 : 139 端口 可 以 通过 禁用 NetBIOS 来 屏蔽 ,方法 : 在 “网 络 连 接 ” 窗 口中 右 击 “本 地 连 
接 ” 图 标 ,在 弹出 的 “本 地 连接 属性 ”对 话 框 中 选择 “Internet 协议 (TCP/IP)” 选 项 ; 然后 单 击 
“属性 ”按钮 ,打开 “Internet 协议 (TCP/IP) 属 性 ”对 话 框 ,在 该 对 话 框 中 单 击 “ 高 级 ”按钮 ,在 
“高 级 TCP/IP 设置 ”对话 框 中 选择 “WINS” 选 项 卡 ,再 选择 “禁用 TCP/IP 上 的 NetBIOS” 单 
选 按钮 ; 最 后 依次 单 击 “ 确 定 ” 按 钮 。 

4. X-Scan 自 带 的 字典 存放 在 哪里 ? 它 的 大 小 与 扫描 时 间 有 何 关系 ? 

答 : X-Scan 自 带 的 字典 存放 在 dat 文件 夹 中 ,用 户 可 以 对 这 些 文件 进行 修改 。 扫 描 时 ， 
选择 的 字典 文件 越 大 ,扫描 的 时 间 越 长 。 

5. 如 何 防止 黑客 的 扫描 ? 

答 : 要 防止 黑客 的 扫描 ,需要 安装 防 病毒 软件 及 防火 墙 ,并 及 时 升级 病毒 库 ,防止 有 破 
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坏 性 程序 的 注入 ; 使 用 最 新 版 本 的 浏览 器 软件 ,电子 邮件 软件 及 其 他 程序 ; 不 要 轻易 打开 
来 历 不 明 的 电子 邮件 或 软件 ,因为 它 可 能 包含 后 门 程序 或 其 他 有 害 程序 ; 在 使 用 QQ、MSN 
等 聊天 工具 时 ,不 轻易 同意 陌生 人 加 自己 为 好 友 ; 使 用 可 以 对 Cookie 进行 控制 的 安全 程 
序 ,因为 Cookie 有 时 会 泄露 用 户 的 一 些 个 人 隐私 ; 经 常 查找 自己 计算 机 中 存在 的 漏洞 ,并 
下 载 安装 漏洞 补丁 ,防止 黑客 利用 漏洞 进行 攻击 。 


26 过 关 练 习 


一 、 选 择 题 
1. ( ”) 类 型 的 软件 能 够 阻止 外 部 主机 对 本 地 计算 机 的 端口 扫描 。 
A. 杀 病 毒 软件 B. 个 人 防火 墙 


C. 基于 TCP/IP 的 检查 攻击 ,例如 netstat D. 加 密 软件 
2. 传输 安全 电子 邮件 的 协议 PGP 属于 ( ) 
A. 物理 层 B. 传输 层 C. 网 络 层 D. 应 用 层 
3. 关于 网 络 安全 ,以 下 说 法 正确 的 是 ( ye 
A. 使 用 无 线 传输 可 以 防御 网 络 监听 
B. 木马 是 一 种 蠕虫 病毒 
C. 使 用 防火 墙 可 以 有 效 地 防御 病毒 
D.“ 冲 击 波 " 病 毒 利用 Windows 的 RPC 漏洞 进行 传播 
4. 许多 黑客 利用 软件 实现 中 的 缓冲 区 溢出 漏洞 进行 攻击 。 对 于 这 一 威胁 ,最 可 靠 的 解 


决 方案 是 ( js 
A. 安装 防火 墙 B. 安装 用 户 认证 系统 
C. 安装 相关 的 系统 补丁 软件 D. 安装 防 病毒 软件 
二 、 简 答题 


1. 常用 的 扫描 器 有 哪些 ? 
2. 端口 扫描 分 为 哪 几 类 ? 扫描 器 的 工作 原理 是 什么 ? 


工作 任务 三 
“口令 破解 
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如 果 黑 客 已 经 找到 目标 主机 ,在 攻击 过 程 中 一 般 都 会 对 计算 机 系统 的 登录 账号 和 密码 
进行 破解 ,以 便 使 用 这 些 登录 账号 和 密码 进入 目标 主机 系统 ,从 而 控制 目标 主机 。 


32 预备 知识 


3.2.1 口令 破解 的 意义 


为 了 安全 ,现在 几乎 所 有 的 系统 都 通过 访问 控制 来 保护 自己 的 数据 。 访 问 控制 最 常用 
的 方法 就 是 口令 保护 ,又 称 为 密码 保护 。 口 令 应 该 说 是 用 户 最 重要 的 一 道 防护 门 ,如 果 密 码 
破解 了 ,用 户 的 信息 将 很 容易 被 窃取 ,因此 口令 破解 也 是 黑客 人 侵 系 统 比 较 常用 的 方法 。 或 
者 , 当 公司 的 某 个 系统 管理 员 离开 企业 而 其 他 人 都 不 知道 该 管理 员 账号 的 口令 时 ,企业 可 能 
会 聘请 专业 技术 人 员 来 破解 管理 员 口 令 。 


3.2.2 获取 用 户 密码 的 方法 


一 般 入 侵 者 常常 通过 下 面 几 种 方法 获取 用 户 的 密码 口令 : 暴力 破解 sniffer 密码 嗅 探 、 
木马 程序 或 键盘 记录 程序 等 。 有 关系 统 用 户 账号 密码 口令 的 暴力 破解 主要 是 基于 密码 匹配 
的 破解 方法 ,最 基本 的 方法 有 两 个 : 穷 举 法 和 字典 法 。 穷 举 法 是 效率 最 低 的 方法 ,是 将 字符 
或 数字 按照 穷 举 的 规则 生成 口令 字符 串 ,进行 遍历 尝试 。 在 口令 稍微 复杂 的 情况 下 , 穷 举 法 
的 破解 速度 很 慢 。 字 典 法 相对 来 说 效率 较 高 , 指 用 口令 字典 中 事先 定义 的 常用 字符 去 党 斌 
匹配 口令 。 口 令 字 册 是 一 个 很 大 的 文本 文件 ,可 以 自己 编辑 或 者 由 字典 工具 生成 ,里 面包 合 
了 单词 或 者 数字 的 组 合 。 如 果 密码 是 一 个 单词 或 者 是 简单 的 数字 组 合 ,破解 者 可 以 很 轻易 
地 破解 密码 。 

常用 的 密码 破解 工具 有 很 多 ,通过 使 用 工具 ,可 以 了 解 口 令 的 安全 性 ,下 面 介绍 两 种 最 
常见 的 工具 软件 。 随 着 网 络 黑客 攻击 技术 的 增强 和 提高 ,很 多 口令 都 可 以 被 攻击 和 破译 ,这 
就 要 求 用 户 提高 对 口令 安全 的 认识 。 

1. 流光 扫描 器 简介 

流光 扫描 器 是 黑客 必 备 的 扫描 器 之 一 , 它 除了 可 以 扫描 系统 安全 漏洞 . 弱 口 令 之 外 ,还 
集成 了 常用 的 入 侵 字 典 ,如 字典 工具 .NT/IIS 工具 等 ,并 且 独 创 了 能 够 控制 “肉鸡 ”进行 扫 
描 的 流量 sensor 工具 和 为 “肉鸡 "安装 服务 的 “种 植 者 "工具 。 流 光 扫 描 器 的 功能 较 多 ,操作 
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较 复杂 ,其 功能 还 在 进一步 扩充 。 流 光 扫 描 器 的 作者 为 了 防止 该 工具 用 于 非法 目的 , 非 注册 
版 对 其 使 用 功能 进行 了 限制 , 且 不 能 扫描 国内 的 IP 地 址 。 


2. SMBcrack 工具 软件 简介 

SMBcrack 是 基于 Windows 操作 系统 的 口令 破解 工具 ,是 小 榕 软件 为 流光 扫描 器 开发 
的 测试 原型 。 它 与 以 往 的 SMB( 共 享 ) 暴 力 破解 工具 不 同 , 没 有 采用 系统 的 API, 而 是 使 用 
了 SMB 的 协议 。 因 为 Windows 可 以 在 同一 会 话 内 进行 多 次 密码 探测 ,所 以 用 SMBcrack 
可 以 破解 操作 系统 的 口令 。 


33 方案 设计 


方案 设计 如 表 3-1 所 示 。 
表 3-1 方案 设计 


任务 名 称 ”| 口令 破解 

1. 使 用 流光 扫描 器 探测 目标 主机 

(1) 使 用 流光 扫描 器 探测 目标 主机 

(2) 使 用 流光 扫描 器 制作 黑客 字典 

2. 使 用 SMBerack 进行 口令 破解 
1. 能 使 用 流光 扫描 器 探测 目标 主机 
2. 能 使 用 流光 扫描 器 制作 黑客 字典 
3. 能 使 用 SMBcrack 工具 软件 进行 口令 破解 
1. 了 解 口令 破解 的 意义 
2. 熟悉 获取 用 户 密码 的 方法 
3. 了 解 流光 扫描 器 的 作用 
4 
1 
2 
4. 
5. 


任务 分 解 


能 力 目 标 


知识 目标 

. 了解 SMBcrack 工具 软件 的 作用 

. 培养 良好 的 职业 道德 

. 具有 良好 的 团队 协作 和 沟通 交流 能 力 
掌握 网 络 安全 行业 的 基本 情况 
培养 创新 能 力 
树立 较 强 的 安全 ,节约 环保 意识 


素质 目标 


34 任务 实施 


3.4.1 任务 1: 使 用 流光 扫描 器 探测 目标 主机 


1. 任务 目标 

通过 流光 扫描 器 的 使 用 ,了 解 账户 的 安全 性 ,掌握 安全 口令 的 设置 原则 ,以 保护 账户 口 
令 的 安全 。 

2. 工作 任务 

(1) 使 用 流光 扫描 器 探测 目标 主机 ; 

(2) 使 用 流光 扫描 器 制作 黑客 字典 。 


工作 任务 三 ”口令 破解 


3. 工作 环境 

(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相 连 。 
(2) 软件 工具 : 流光 扫描 器 软件 。 

4. 实施 过 程 

(1) 使 用 流光 扫描 器 探测 目标 主机 

双击 从 网 上 下 载 的 安装 文件 ,启动 其 安装 向 导 进 行 安装 。 

@ 双击 桌面 上 的 Fluxay 图 标 , 即 可 进入 操作 界面 ,如 图 3-1 所 示 。 


小 榕 软件 -【 访 光 5.0】 Bui14 3319 加 用 月 ) Dix] 


口 念 Frp 主机 了 
口 @ rr 主机 | 


主机 系统 版 本 关 型 EE 


国 小 覃 软件 实验 室 1995-2002 小 检 作 品 版 权 所 有 


用 户 各 E33 主机 
Ll ei 划 
[二 一 二 | 用 P | 单 本 | 启程 | 探 齐 计 度 | En 


图 3-1 流光 扫描 器 操作 界面 


@ 选择 “文件 ”>“ 高 级 扫描 向 导 ” 菜 单项 ,在 打开 的 对 话 框 中 设 罗 IP 起 始 地 址 和 结束 
地 址 ,并 在 “目标 系统 ”下 拉 列 表 文 本 框 中 选择 欲 检测 的 操作 系统 类 型 。 单 击 * 获 取 主 机 名 ” 
和 “PING 检查 ”前 的 按钮 ,使 其 处 于 选中 状态 ,如 图 3-2 所 示 。 


@ 单 击 “ 下 一 步 " 按 钮 ,然后 选取 “标准 端口 扫描 "选项 ,只 对 常用 端口 进行 扫描 ,如 图 3-3 
所 示 。 
EE | 


起 始 地 址 : [192 168.5.1 
持 束 地 址 : |192. 168.5.10 


《上 - 步 四 [so 让 3 | 


图 3-2 设置 IP 地 址 范围 及 检测 项 目 图 3-3 设置 扫描 端口 范围 
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“下 一 步 ” 按 钮 ,然后 选取 “获取 POP3 版 本 信息 ”及 “尝试 猜 解 用 户 ” 选 项 ,如 


四 单 
图 3-4 所 示 。 
@ 单 击 “ 下 一 步 ” 按 钮 ,然后 设置 FTP 检测 的 有 关 选 项 ,如 图 3-5 所 示 。 


aa 习 


i 
举证 名 登 录 
苦 试 薄 解 用 户 


更 厅 


md TE | 
图 3-5 设置 FTP 检测 选项 


wa Ewell 
图 3-4 设置 POP3 检测 选项 


@ 单 击 “ 下 一 步 ” 按 钮 ,然后 设置 SMTP 检测 的 有 关 选 项 ,如 图 3-6 所 示 。 
@ 单 击 “ 下 一 步 " 按 钮 ,然后 设置 IMAP 检测 的 有 关 选 项 ,如 图 3-7 所 示 。 
| “ZTE 到 


固 路 天 二 大 
党 江油 解 用 户 帐 叶 


《上 =- 步 g [下 -区 四 )] mi 
图 3-7 设置 IMAP 检测 选项 


‘+-5w [FS | 
图 3-6 设置 SMTP 检测 选项 


击 “ 下 一 步 ” 按 钮 ,然后 设置 Telnet 远程 溢出 等 选项 ,如 图 3-8 所 示 。 
“下 一 步 ” 按 钮 ,然后 在 对 话 框 中 设置 CGI 的 有 关 检 测 选 项 ,如 图 3-9 所 示 。 


到 加 


捧 取 系统 卫 所 
Sun0s Login 远程 省 出 


A A) DE WE 和 
图 3-9 设置 CGI 检测 选项 


< 四 [天 下 an | 二 
图 3-8 设置 远程 溢出 选项 


工作 任务 三 


口令 破解 


@@ 单 击 * 下 一 步 "按钮 ,将 显示 CGI 规则 设置 对 话 框 , 可 选择 需要 扫描 的 CGI 漏洞 选 


项 ,如 图 3-10 所 示 。 


@ 单 击 “ 下 一 步 " 按 钮 ,然后 对 装 有 SQL 数据 库 的 系统 设置 有 关 的 漏洞 扫描 选项 ,如 


图 3-11 所 示 。 


[cer Rules ; 


共计 [2446] 条 规则 


| 


» EE 
[= TA 


本 


加 


bE 


图 3-10 选择 CGI 漏洞 选项 


sor 


国 esqL 2000 版 本 检查 


图 3-11 


设置 SQL 漏洞 扫描 选项 


@ 单 击 “ 下 一 步 ” 按 钮 ,然后 设置 有 关 共 享 资源 及 用 户 名 猜 解 的 扫描 等 选项 ,如 图 3-12 所 示 。 
加 单 击 “ 下 一 步 ” 按 钮 ,然后 设置 IIS 服务 器 的 有 关 漏 洞 检测 选项 ,如 图 3-13 所 示 。 


EE | 
SR ML Sesss' [EEC 
因 共享 资源 扫 答 国 Prentpsee 扩展 
因 将 试 站 取 用 户 各 国人 党 计 获 了 sh 廊 件 
国 滨江 对 获取 的 用 户 名 浊 行 革 解 国 尝试 正 取 Fchayghere 吾 码 文件 
仅 对 Adnini strwotors 胡 进行 猜 解 
< LW [FSWH)] mH | | <+-5W [T=Swm)] wh | 
图 3-12 共享 资源 扫描 等 选项 设置 图 3-13 设置 IIS 检测 选项 
@ 单 击 “ 下 一 步 ” 按 钮 ,然后 设置 有 关 Finger 的 检测 选项 ,如 图 3-14 所 示 。 
四 单 击 * 下 一 步 ?按钮 ,然后 设置 RPC 的 有 关 检 测 选项 ,如 图 3-15 所 示 。 
EE ic EE 


Els Sm 
对 sun 0S 竹 试 牙 得 用 户 列表 


cA TE Wd| ed LE WR | 有 
图 3-14 设置 Finger 检测 选项 图 3-15 设置 RPC 检测 选项 
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四 单 击 “ 下 一 步 ?按钮 ,然后 选择 有 关 MISC 的 检测 选项 ,如 图 3-16 所 示 。 
四 单 击 * 下 一 步 "按钮 ,然后 选择 需要 检测 的 系统 插件 漏洞 类 别 , 如 图 3-17 所 示 。 


pe 共 H[D00] 个 插件 


回 ccprexy 6.2 Exploit 
BFrontPage 2000 Extension Exploit 
回 PT Server 

回 TTS 5.0 YEBDAY Baploit 

回 TTrss.0 WLL Printer Exploit 

加 WL Session Avalisble 

加 QFoP Verify we 

回 sm 6et 0 

回 seans FTF CT Verify Vsernne 


LE an | mm | ‘sw Bm] Mh | mW | 


HIEJEIEIEIEIEIEIE 


3-16 ”设置 MISC 检测 选项 图 3-17 选择 系统 插件 


@ 单 击 “ 下 一 步 ” 按 钮 ,然后 设置 使 用 破解 用 户 名 和 密码 的 字典 ,以 及 扫描 报告 保存 的 
路 径 、 并 发 线程 数量 等 选项 ,如 图 3-18 所 示 。 
四 单 击 “ 完 成 ”按钮 ,在 显示 的 对 话 框 中 选择 需要 使 用 的 扫描 主机 ,如 图 3-19 所 示 。 


EE | 


玺 解 用 户 名 字典 - 
rE 
Fe pie de 加 主机 [区 硬 厨 ”WW | 并 DO: FF 
保存 扫描 报告 用 户外 密码 [TT 

[Ei\Progron Files\Flucay\Reports\192 168 网 选项 

| 国 显示 扫描 细节 ( 当 5ensor 安 装 在 远程 服务 器 ,过 度 会 变 悍 ) 


口 后 台 极 式 , 扫描 开始 后 无 需 考 户 靖 干预 , 


图 3-18 设置 破解 字典 及 其 他 选项 图 3-19 选择 扫描 主机 


四 单 击 “开始 ?按钮 ,流光 扫描 器 开始 扫描 ,如 图 3-20 所 示 。 

在 扫描 过 程 中 ,界面 下 方 弹 出 一 个 “探测 结果 ”窗口 ,显示 扫描 成 功 与 否 的 信息 ,如 
图 3-21 所 示 。 

扫描 结束 后 ,将 显示 如 图 3-22 所 示 的 提示 框 。 单 击 “ 是 ”按钮 , 即 可 查看 到 扫描 的 最 终 
结果 ,如 图 3-23 所 示 。 

(2) 使 用 流光 扫描 器 制作 黑客 字典 

使 用 流光 扫描 器 制作 黑客 字典 ,可 以 根据 用 户 需要 任意 设 定 包含 的 字母 .数字 字符 等 
内 容 ,制作 方法 如 下 : 


工作 任务 三 口令 
文件 于 编辑 下) 
Wi 
= 口 轨 国 
Om 
口 晤 Imar 主 机 
口 仿 FP 主机 
口 登 rrp 主 机 
主机 EE E33 
[ 国 少 攻 软件 实验 室 1995-2002 小 榨 作 品 版 权 所 有 
用 户 名 密码 主机 
1 | 到 
EE | 停止 
图 3-20 扫描 中 
所 探测 结果 (18) -olxl 
EE 
是 否 需要 查看 扫描 报 上 
[| 难 (W) | 


图 3-21 ”探测 结果 


对流 光 IY 扫 葛 报告 - Microsoft Internet Explerer =|Djx| 
也 
到 


文件 中 ”编辑 世 ) 查看 () 收 项 人 ) 工具 CD) 帮助 0 
“回国 区 搜索 收藏 亦 好 将 体 厂 - 


地 址 加 | 尼 ] c:\Program Files\Fluxay\Reports\192. 168. 5. 1-192. 168. 5. 10. htal 


192.168.5.2 (gl-vml) 


外 


锌 口 扫 撕 


RPC 扫 描 
Microsoft Windows NT/2000/XP/2003 RPC DCOM 紧 冲 区 溢出 漏洞 (MS03-26) Exploit 


Plugins 


790 (Yia SMB) 


Remote Host OS is Windows Server 20 


Remote Host Null Session could be Established. 


<| 
Eg 


EE 


3-23 ”扫描 结果 


图 3-22 ”提示 查看 扫描 报告 
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Q@ 在 流光 扫描 器 的 主 界面 选择 工具” 字典 工具 ”黑客 字典 由 -流光 版 ?菜单 项 ， 
如 图 3-24 所 示 。 


| 小 相 软件 流光 5_03 Bila 3310 (0 用 PP = TE| 
文件 四 ”编辑 @， 查 看 多 ， 探 出 @) 选项 O) | 工具 CT) 帮助 00 关于 从) 
控 Wa 录 查找 : [ 可 [ERTR 黑客 字 央 天- 流光 版 由 ) Ctrlth 
FT 口 唤 Pop3 主 机 TESTR ”| 根据 拼音 规则 @) 
[te ee ”RN 
下 翅 模式 文件 设 定 人 
口 全 HTP 主机 tb 
一 了 axay Sensor 工具 | 拆 分 字典 () 
运程 网 入 了 探 站 于 和 人 并 
"| HIRD 


方案 文件 编辑 0) 


国有 软件 实验 室 1995-2002 


| 


[Es 


图 3-24 流光 扫描 器 的 主 界面 
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@ 在 打开 的 对 话 框 中 选择 “设置 ?选项 卡 ,用 户 可 以 从 中 选择 生成 密码 中 包含 的 字母 或 
数字 及 其 范围 ,如 图 3-25 所 示 。 

@ 在 “选项 ”选项 卡 中 ,可 以 设置 生成 的 字符 串 是 否 有 “字母 采用 大 写 形 式 ”“ 仅 仅 首 字 
母 大 写 ” 等 特殊 要 求 , 如 图 3-26 所 示 。 


Ed| 对 
设置 “| 选项 “| 文件 存放 位 置 | 高 组 选项 | 方案 | 设置 。 选项 | 文件 存放 位 置 | 高 级 选项 | 方案 | 


人 苇 王 深 用 天 写 缘 到 
厂 避 权 首 字母 大 写 

字面， 从 本 至 乒 相 厂 数字 在 字母 前 
数字 范围 ， 从 厅 至 局 可 


厂 符号 Dx20"Dx2E 


厂 羽 忆 使 用 LF 间 阿 
厂 芭 仅 使 用 铺 音 字母 
厂 字母 和 数 宇 不 重复 ( 慢 ? 


[二 | 四 清册 | 一) 
图 3-25 设置 字典 选项 图 3-26 ”选项 设置 


@ 在 “文件 存放 位 置 ?选项 卡 中 指定 字典 文件 保存 的 位 置 , 可 以 选择 是 否 把 大 于 120KB 
的 字典 文件 进行 拆 分 ,如 图 3-27 所 示 。 

@ 在 “高 级 选项 "选项 卡 中 ,可 以 将 字母 ,数字 或 字符 的 位 置 固定 ,如 图 3-28 所 示 。 

@ 单 击 “ 确 定 ” 按 钮 后 ,出 现 “ 字 典 属性 ”窗口 ,如 图 3-29 所 示 , 可 以 设置 字符 串 的 格式 。 
如 有 不 妥 , 单 击 * 再 等 一 会 !" 按 钮 返回 设置 对 话 框 进行 调整 。 

@ 单 击 “开始 ”按钮 ,系统 开始 生成 字典 ,并 显示 生成 字典 的 进度 ,如 图 3-30 所 示 。 
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划 x| 
设置 “| 选项 。 文件 存放 位 置 | 高 级 选项 | 方案 | 设置 | 选项 “| 文件 存放 位 置 高 级 选项 | 方案 | 
-字母 位 轩 
Fe rR nie Pr Pe Par re err rel 
当前 磁盘 空间 剿 余 :1724868 KBytes 一 一 一 一 一 一 一 
ma -数位 轩 
i 2 3 a 
将 文件 拆 分 方 区 - 三 卸 分 -符号 位 置 
Ee Es > Sa Ks be | 
小 于 120K 的 字 奥 格 不 会 被 拆 分 加 合用 高 选项 生成 了 奥 
EE 忆 口 全 用力 案 和 成 摧 


现 定 | [取消 ] 名 用 人 得 且 确定 应 用 区 下 有 
图 3-27 设置 文件 存放 位 置 图 3-28 设置 高 级 选项 


单词 中 包含 符号 「 设 有 符号。 单词 可 隔 : | 。 用 LF 和 CR 辣 隔 诗意 

妈 公 使 用 辅音 字母 ; | 有 畏 音 插 下 。 现 计 字典 大 小 : [12014K 

字典 文件 名 : [CDocuments and 5 。 字母 数字 重复 [重复 字典 成 功 生成 1 
方案 文件 名 : | 不 生成 方案 ”当前 空 间 利 余 ; | 1735906K 

单词 范例 : 门 AAA00 


拆 分 字典 : 逢 稚 Dr CE 


图 3-29 高 级 字典 属性 图 3-30 生成 字典 进度 


3.4.2 任务 2: 使 用 SMBerack 进行 口令 破解 


1. 任务 目标 

通过 密码 破解 工具 的 使 用 ,了 解 账户 的 安全 性 ,掌握 安全 口令 的 设置 原则 ,以 保护 账户 
口令 的 安全 。 

2. 工作 任务 

使 用 SMBcrack 工具 软件 进行 口令 破解 。 

3. 工作 环境 

(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 

(2) 软件 工具 : SMBcrack 。 

4. 实施 过 程 

SMBcrack 工具 软件 需要 在 DOS 命令 行 窗口 运行 ,'SMBcrack 的 命令 格式 为 

SMBcrack <IP> 二 Username> <Password file> 二 Port> 


其 中 ,IP 是 目标 主机 的 IP 地 址 ; Username 是 目标 主机 需要 破解 的 账号 ; Password file 是 
字典 文件 ,如 图 3-31 所 示 。 
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SMB Cracker U3-Protype for Pluxay 5. by netXeyes 2802 四 


lsMBCrack <IP> Usernane> 《Password file> [Port] 


Ic:\sMmBCrack> 


图 3-31 SMBcrack 工具 软 伯 


假定 SMBerack 工具 软件 在 C 盘 hk 目录 ,要 先 把 字典 文件 复制 到 hk 目录 中 ,再 按 下 列 
步骤 操作 。 

QO@ 选择 “开始 ”>“ 运 行 "菜单 项 ,打开 “运行 "对话 框 。 在 “打开 ”下 拉 列 表 文 本 框 中 输入 
“cmd”, 然 后 单 击 “ 确 定 ” 按 钮 。 在 命令 提示 符 窗口 ,输入 “cd\” 后 按 “Enter" 键 回 到 C 盘 根 目 
录 , 然 后 输入 “cd SMBcrack”; 按 “Enter” 键 后 输入 “smbcrak 192. 168. 5. 2 administrator 1. 
dic” ,再 按 “Enter” 键 ,如 图 3-32 所 示 。 


Se:| 


ic: \hk>smbcrack 192.168.5.2 administrator 1.dic 


图 3-32 ”SMBcrack 命令 


@ 开始 口令 破解 ,命令 提示 符 窗口 显示 破解 的 进度 ,如 图 3-33 所 示 。 


5 命令 提示 符 - smberack 192 168- 
SMB Cracker U3-Protype f 


Processing Vords 8994/19899B2 1888 Words/Sec 


图 3-33 口令 破解 中 


@ 目标 主机 192. 168. 5. 2 的 用 户 名 是 “administrator”, 密 码 是 “123321”, 口 令 破 解 的 实 
验 结果 如 图 3-34 所 示 。 


g Words 123323/19988B2 1888 Words/Sec 


35 常见 问题 解答 


1. 如 何 防 止 账户 密码 被 破解 ? 
答 : 设 定 密码 时 最 好 不 要 使 用 名 字 的 拼音 或 生日 数字 的 组 合 , 最 好 使 用 无 意义 的 数字 
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和 字母 组 合 ,并 且 位 数 尽量 多 ,经 常 更 换 , 防 止 黑客 破解 ; 对 不 同 网 站 和 程序 要 使 用 不 同 的 
密码 ,防止 黑客 破译 ; 网 上 购物 时 ,不 论 出 于 何 种 原因 ,都 不 允许 自己 的 信用 卡 资料 被 商家 
存储 ; 只 向 有 安全 保证 的 网 站 发 送信 用 卡号 码 , 并 留意 浏览 器 底部 显示 的 挂 锁 图 标 或 钥匙 
形 图 标 。 

2. 什么 叫 弱 口 令 扫描 ? 

答 : 弱 口 令 是 指 仅 包含 简单 数字 和 字母 的 口令 ,例如 123、abc。 这 样 的 口令 很 容易 被 破 
解 ,从 而 使 用 户 的 计算 机 面临 风险 ,因此 不 推荐 使 用 。 用 户 的 口令 最 好 由 字母 ,数字 和 符号 
混合 组 成 ,并 且 至 少 要 达到 8 位 长 度 。 弱 口令 可 能 存在 于 自己 的 计算 机 系统 中 ,也 可 能 存在 
于 用 户 在 网 络 上 的 注册 信息 中 ,如 计算 机 的 登录 口令 .QQ 密码 等 。 对 于 在 网 络 上 注册 的 重 
要 信息 ,如 网 上 银行 登录 口令 ,邮箱 的 登录 口令 等 ,设置 得 过 于 简单 ,就 可 能 被 人 破解 ,从 而 
造成 重大 损失 ,所 以 用 户 需要 特别 注意 。 


36 过 关 练 习 


一 、 选 择 题 
1. 网 络 攻 击 的 发 展 趋势 是 ( 四 
A. 黑客 技术 与 网 络 病毒 日 益 融 合 B. 攻击 技术 日 益 先 进 
C. 病毒 攻击 D. 黑客 攻击 
2. 通过 非 直接 技术 攻击 称 为 (  ) 攻 击 手法 。 
A. 会 话 动 持 B. 社会 工程 学 C. 特权 提升 D. 应 用 层 攻击 


3. 关于 “攻击 工具 日 益 先 进 , 攻 击 者 需要 的 技能 日 趋 下 降 ” 的 观点 不 正确 的 是 ( 05 
A. 网 络 受 到 攻击 的 可 能 性 越 来 越 大 B. 网 络 受到 攻击 的 可 能 性 越 来 越 小 


C. 网 络 攻击 无 处 不 在 D. 网 络 风险 日 益 严 重 
4. 一 次 字典 攻击 能 否 成 功 ,很 大 因素 取决 于 (  )。 

A. 字典 文件 B. 计算 机 速度 C. 网 络 速度 D. 黑客 学 历 
5. 打 电 话 请 求 密码 属于 ( ) 攻 击 方式 。 

A. 木马 B. 社会 工程 学 C. 电话 系统 漏洞 D. 拒绝 服务 
二 、 简 答题 
1. 常用 的 口令 破解 工具 有 哪些 ? 
2. 什么 叫 弱 口 令 ? 
三 、 操 作 题 


1. 利用 流光 软件 制作 黑客 字典 ,要 求 密码 由 3 位 字母 (a 一 z) 和 2 位 数字 (0 一 9) 组 成 ， 
首 字母 为 大 写 ,数字 在 字母 之 后 。 

2. 利用 流光 软件 制作 黑客 字典 ,要求 密码 由 3 位 字母 (a~z) 和 2 位 数字 (0 一 9) 组 成 ， 
首 字母 为 大 写 ,数字 在 第 3、4 位 ,字母 在 第 1.2、5 位 。 

3. 利用 流光 软件 制作 黑客 字典 ,要 求 密码 由 6 位 字母 (a~z) 和 2 位 数字 (0 一 9) 组 成 ， 
首 字母 为 大 写 ,数字 在 第 2.4 位 ,字母 在 第 1、.3、5、6、7、8 位 。 
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41 用 户 需求 与 分 析 


网 络 监听 工具 是 一 把 双 刃 剑 。 在 网 络 管理 员 手 中 ,网 络 监听 工具 能 帮助 用 户 监 控 网 络 
流量 ,更 好 地 管理 网 络 ; 在 黑客 手中 ,网 络 监听 工具 能 够 捕获 计算 机 用 户 因 为 玻 忽 带 来 的 漏 
洞 ,成 为 一 个 危险 的 网 络 间谍 。 掌 握 网 络 监听 工具 的 使 用 方法 对 于 学 习 黑 客人 侵 知 识 会 
到 事半功倍 的 效果 。 


42 预备 知识 


4.2.1 网 络 监听 的 原理 


网 络 嗅 探 器 或 网 络 监听 技术 在 协助 网 络 管理 员 监 测 网 络 传输 数据 、 排 除 网 络 故障 等 方 
面具 有 不 可 替代 的 作用 ,因此 一 直 备 受 网 络 管理 员 的 青睐 并 逐渐 发 展 完善 。 所 谓 监听 技术 ， 
就 是 在 互相 通信 的 两 台 计 算 机 之 间 通 过 技术 手段 插入 一 台 可 以 接收 并 记录 通信 内 容 的 设 
备 ,并 最 终 实现 对 通信 双方 的 数据 记录 。 一 般 要 求 用 作 监 听 途 径 的 设备 不 能 造成 通信 双方 
的 行动 异常 或 者 链接 中 断 等 , 即 监听 方 不 能 参与 通信 中 任何 一 方 的 通信 行为 ,仅仅 是 被 动 地 
接收 记录 通信 数据 ,而 不 能 对 其 进行 算 改 。 

监听 的 弱点 是 它 要 求 监听 设备 的 物理 传输 介质 与 被 监听 设备 的 物理 传输 介质 存在 直接 联 
系 , 或 者 数据 包 能 经 过 路 由 选择 到 达 对 方 , 即 一 个 逻辑 上 的 三 方 连接 。 能 实现 这 个 条 件 的 只 有 
两 种 情况 : 监听 方 与 通信 方位 于 同一 物理 网 络 , 如 局 域 网 ,或 者 是 监听 方 与 通信 方 存在 路 由 或 
接口 关系 ,例如 通信 双方 的 同一 网 关 、 连 接 通 信 双 方 的 路 由 设备 等 。 因 此 嗅 探 技术 不 太 可 能 在 
公共 网 络 设备 上 使 用 ,所 以 当今 最 普遍 的 嗅 探 行为 并 不 是 发 生 在 互联 网 上 ,而 是 发 生 在 各 个 或 
大 或 小 的 局 域 网 中 ,因为 它 满足 监听 技术 的 必要 条 件 : 监听 方 与 通信 方位 于 同一 物理 网 络 。 


4.2.2 和 常见 网 络 监听 工具 介绍 


网 络 监 听 工 具 又 称 为 网 络 嗅 探 器 ,是 一 种 监视 和 收集 网 络 中 各 种 数据 信息 的 软件 ,利用 
它 , 通 过 网 卡 可 以 随意 对 网 络 中 的 信息 进行 查看 ,监视 以 及 截获 , 它 是 黑客 最 得 力 的 信息 收 
集 工 具 。 

网 络 监听 工具 分 为 软件 和 硬件 两 种 ,软件 的 有 Sniffer Pro、 Wireshark、Network Monitor 
等 ,优点 是 易于 安装 部 署 ,易于 学 习 、 使 用 和 交流 ; 缺点 是 无 法 抓 取 网 络 上 所 有 的 传输 ,在 某 些 
情况 下 无 法 真正 了 解 网 络 的 故障 和 运行 情况 。 硬 件 的 网 络 监听 工具 通常 称 为 协议 分 析 仪 ,一 
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般 是 商业 性 的 ,价格 比较 昂贵 ,但 会 支持 各 种 扩展 的 链 路 捕获 能 力 以 及 高 性 能 的 数据 实时 捕获 
分 析 功 能 。 
下 面 介 绍 几 种 最 常见 的 网 络 监听 工具 软件 。 


1. Sniffer 嗅 探 器 

Sniffer 嗅 探 器 即 Sniffer Pro, 是 目前 黑客 最 常用 的 网 络 嗅 探 软件 。 它 是 一 款 由 NAT 公司 
推出 的 网 络 协议 分 析 软 件 ,功能 包括 捕获 网 络 流量 ,基于 各 种 网 络 协议 分 析 网 络 数据 ,实时 监 
控 单 个 工作 站 、 会 话 或 者 网 络 中 任何 一 部 分 详细 的 网 络 利用 情况 和 错误 统计 ,利用 专家 分 析 系 
统 诊断 问题 ,可 以 解码 至 少 450 种 协议 ,支持 主要 的 LAN、WAN 和 网 络 技术 ,提供 在 位 和 字 节 
水 平 过 滤 数 据 包 的 能 力 。 它 可 以 在 各 种 Windows 平台 上 运行 ,解决 网 络 中 存在 的 问题 。 

2. Wireshark 工具 

Wireshark( 前 称 Ethereal) 是 一 个 网 络 封包 分 析 软 件 。 网 络 封包 分 析 软 件 的 功能 是 捕 
捉 网 络 数据 包 , 并 尽 可 能 显示 出 最 为 详细 的 数据 包 内 容 。 在 过 去 ,网 络 数据 包 分 析 软 件 或 者 
非常 昂贵 ,或 者 专门 属于 营利 用 的 软件 。Wireshark 的 出 现 改 变 了 这 一 切 。 在 GNUGPL 通 
用 许可 证 的 保障 下 ,使 用 者 可 以 免费 取得 软件 及 其 源 代 码 , 并 拥有 对 源 代 码 修改 的 权利 。 
Wireshark 是 目前 全 世界 最 广泛 的 网 络 封包 分 析 软 件 之 一 。 


43 方案 设计 


方案 设计 如 表 4-1 所 示 。 
表 4-1 方案 设计 
任务 名 称 网 络 监 听 工 具 的 使 用 


1. Sniffer 嗅 探 器 的 使 用 

(1) Sniffer Pro 的 安装 

(2) Sniffer Pro 的 配置 

(3) 用 Sniffer Pro 捕获 数据 包 
2. Wireshark 工具 的 使 用 

(1) 设置 Wireshark 的 过 滤 规 则 
(2) 指定 过 滤器 

(3) 用 Wireshark 捕获 数据 包 


任务 分 解 


1. 能 顺利 安装 Sniffer Pro 软件 

2. 能 对 Sniffer Pro 进行 配置 

3. 能 使 用 Sniffer Pro 软件 捕获 数据 包 

4. 能 使 用 Sniffer Pro 软件 捕获 远程 登录 的 用 户 名 和 密码 
5. 能 使 用 Sniffer Pro 软件 捕获 FTP 登录 的 用 户 名 和 密码 
能 力 目标 6. 能 设置 Wireshark 的 过 滤 规 则 

7. 能 为 Wireshark 指定 过 滤器 

8. 能 使 用 Wireshark 捕获 数据 包 

9. 能 用 Wireshark 嗅 探 FTP 登录 ,并 从 捕获 数据 中 分 析出 登录 的 账号 和 密码 
10. 能 使 用 科 来 网 络 分 析 系 统统 计 网 络 流量 

11. 能 使 用 科 来 网 络 分 析 系 统 了 解 网 络 流量 应 用 组 成 以 及 如 何 被 利用 
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续 表 


. 了 解 网 络 监听 的 原理 

. 熟悉 常用 的 网 络 监听 工具 的 优点 及 缺点 
. 了 解 Sniffer 嗅 探 器 的 作用 

. 了 解 Wireshark 工具 软件 的 作用 

. 具有 良好 的 团队 协作 和 沟通 交流 能 力 

. 培养 良好 的 职业 道德 

.掌握 网 络 安全 行业 的 基本 情况 

. 树立 较 强 的 安全 节约 、 环 保 意 识 

. 培养 创新 能 力 


知识 目标 


素质 目标 


Rb 


44 任务 实施 


4.4.1 任务 1: Sniffer 嗅 探 器 的 使 用 


1, 任务 目标 

掌握 Sniffer Pro 的 安装 方法 ,熟练 掌握 Sniffer Pro 的 几 个 主要 功能 ,查看 网 络 流量 、 主 
机 、 协 议和 网 络 连接 的 方法 ; 能 选择 监听 的 网 卡 ,查看 捕获 的 报 文 ,并 能 对 捕获 的 数据 包 进 
行 专家 分 析 、 解 码 分 析 和 统计 分 析 ; 能 对 基本 捕获 条 件 、 高 级 捕获 条 件 和 任意 捕获 条 件 进行 
设置 。 

2, 工作 任务 

(1) Sniffer Pro 的 安装 ; 

(2) Sniffer Pro 的 配置 ; 

(3) 用 Sniffer Pro 捕获 数据 包 。 


3. 工作 环境 
(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相 连 。 
(2) 软件 工具 : Sniffer Pro 软件 。 


4. 实施 过 程 

(1) Sniffer Pro 的 安装 

@ 双击 安装 程序 ,进入 Sniffer Portable 4.7.5 的 安装 界面 ,如 图 4-1 所 示 。 

@ 不 断 单 击 “ 下 一 步 ”按钮 ,出 现 许 可 协议 , 单 击 “ 同 意 ” 按 钮 。 

@ 在 用 户 信息 对 话 框 中 输入 姓名 和 公司 。 

由 单 击 * 下 一 步 ? 按 钮 ,然后 选择 并 设置 安装 的 路 径 , 再 单 击 * 下 一 步 ?按钮 进行 安装 。 
默认 安装 在 C:\Program Files\NAI\SnifferNT 目录 中 ,可 以 通过 单 击 旁边 的 “Browse” 按 
钮 修改 路 径 。 为 了 更 好 地 使 用 ,还 是 使 用 默认 路 径 来 安装 。 

@ 在 “Sniffer Pro User Registration” 对 话 框 中 填写 个 人 信息 ,包括 名 字 、 行 业 、 电 子 邮 
箱 等 ,如 图 4-2 所 示 。 填 写 时 注意 格式 ,E-mail 地 址 要 符合 规范 ,需要 带 有 “@”。 

@ 填写 个 人 联系 方式 ,包括 地 址 、 城 市 .国家 、 邮 编 .电话 号 码 等 。 填 写 完 毕 后 单 击 “ 下 


工作 任务 四 “网络 监听 工具 的 使 用 


ST Sniffer Portable 4.7.5 - Installshield Wizard x| 


Welcome to the InstallShield Wizard 
for Sniffer Portable 4.7.5 


The Installshield Wizard(TM) will help install Sriffer Portable 
4.7.5 on your computer. To continue, cick Next. 


Enter your name and infornation # - Indicates * 

Pirst Nane 
te 
+ Basin [tt 


站 四 
Costoner [Education 到 


Email esapt. com 


Ea 


图 4-2 注册 Sniffer Pro 


一 步 "按钮 ,注意 字母 和 数字 要 区 分 。 

@ 接 下 来 询问 安装 者 是 如 何 了 解 本 软件 的 。 最 后 的 “Sniffer Serial Number” 栏 用 于 填 
写 序 列 号 。 

@ 设置 网 络 连接 状况 。 只 要 不 是 通过 “代理 服务 器 * 上 网 的 用 户 都 可 以 选择 第 一 项 
“Direct Connection to the Internet”, 然 后 单 击 * 下 一 步 ? 按 钮 ,如 图 4-3 所 示 。 

@ 接着 是 通过 网 络 注册 的 提示 。 暂 时 不 注册 并 不 妨碍 使 用 软件 。 

外 单 击 * 下 一 步 ?按钮 ,出 现 注册 结果 , 单 击 “完成 ”按钮 。 

@@ 软件 提示 重启 计算 机 。 因 为 Sniffer Pro 需要 将 网 卡 的 监听 模式 切换 为 “混杂 ”, 不 重 
启 计 算 机 无 法 实现 切换 功能 。 

@@ 重启 计算 机 后 便 完 成 了 安装 。 根 据 需 要 ,决定 是 否 安装 汉化 补丁 。 

(2) Sniffer Pro 的 配置 

Sniffer Pro 是 非常 优秀 的 协议 分 析 软 件 , 又 是 非常 优秀 的 嗅 探 器 , 它 利用 以 太 网 特性 把 
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区 Sniffer Pro User Registration x| 


DE yeu re conmectine to the Taternet throndh 
dial-up networking, you may wish mow. 


IE you are comecting over & locsl area network, you 


may need to comnect through a proxy. Please consult 
our systen adninistrator. 


I Ss msble to emmact to oe Internet, your 
stration information can be printed and saved. 


Direct Connection to the Internet] 
Comnection to the Internet through a Proxy 


Cia 


Not connected to ed 
Brint & fax opti 


< 上 二 步 加 取消 


图 4-3 设置 网 络 连 接 


网 络 适 配 卡 (NIC ,一 般 为 以 太 网 卡 ) 置 为 混杂 模式 状态 后 ,能 接收 传输 在 网 络 上 的 每 一 个 信 
息 包 。Sniffer Pro 的 配置 步骤 如 下 : 
QO@ 安装 完成 后 , 单 击 “Dashboard( 仪 表 板 )” 图 标 , 主 界面 出 现 3 块 表 。 第 一 块 表 显 示 网 
络 的 使 用 率 (Utilization) ; 第 二 块 表 显示 网 络 每 秒 钟 通过 的 包 数 量 (Packets); 第 三 块 表 显 
示 网 络 的 每 秒 错误 率 (Errors)。 红 色 部 分 显示 的 是 根据 网 络 要 求 设置 的 上 限 ,如 图 4-4 所 示 。 
全 文件 串 丰 视 哈 MW 捕获 C) 显示 @) 工具 0) 数据库 @) 窗口) 帮助 内。 -18jx| 
几 放 本 号 | 两 | KI 可 
lB| gls| 仿 | 中 | 允 | 昌 | 要 | 于 | 全 | 可 | | @| 人 | 


Short Term 人 LongTem 


按 Fl 获取 帮助 本 厂 上 业 广 | -| 


图 4-4 Sniffer Pro 程序 主 界面 


@ 单 击 “Host table( 主 机 列表 ) ”图标 ,出现 所 有 在 线 的 本 网 主机 地 址 以 及 联 到 外 网 的 
外 网 服务 器 地 址 ,如 图 4-5 所 示 。 

@ 若 想 了 解 某 台 计 算 机 的 上 网 情况 ,只 需 双 击 该 计算 机 的 IP 地 址 , 即 弹出 该 计算 机 网 
经 过 接 情况 的 界面 ,如 图 4-6 所 示 。 

@ 单 击 "Detail( 协 议 分 布 ) "图标 ,将 显示 整个 网 络 的 协议 分 布 情况 ,可 清楚 地 看 出 哪 台 
计算 机 运行 了 哪些 协议 ,如 图 4-7 所 示 。 如 果 在 图 4-6 所 示 界 面 上 单 击 , 则 显示 指定 计算 机 
的 情况 。 
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re 


瑟 | 日 | 全 | 对 | 全 | 器 | 介 |@| 琶 | 入 | 傅 | 网 | 支 | 使 | 可 | 
IF 地 址 入 境 数 据 包 | 出境 获 据 包 | 宇 节 | 出 埠 字 节 [广播 [多 点 传送 | 更 新 时 间 [ 创 哇 时 间 | 
0 19328| 50 0|2011-07-31 | 2 


2011.07.31| 2011-07.31 

2011-07-31 | 2011-07:31 | 
0|2011-07:31 | 2011.07.31 
01 2011.07.311 2011-07.31 


0 

0 

0| 2011-07:31 | 2011-07-31 
0 

0 


加 1031502 0 国 
硬 || 号 103151.255 8 
19216813 354 81 47 
弛 | 192168.31.111 354 0 0|2011-07:31 
192.168.31.255 8 0 0| 2011.07.31 
砷 | 豆 1a21681981 4 8 0 75|2011-07.31 
2 169.198.128 3 4 0 24 |2011-07.31 | 
ba 2 168 198.254 7 1 0| 201107.31| 2011-07.31 | 
3 2 168198 255 2 0 2011-07.31 | 2011-07.31 
224001 0 2011-07.31 | 2011.07.31 
0 
0 
0 
0 
0 


按 Fl 获 取 帮 助 


图 4-6 某 台 计算 机 的 连接 情况 示意 图 


号 | 日 | lS| S| 尖 | 间 | 要 | 久 |@| 区 | 安 | 多 | 创 
EE 协议 地 址 | 入 雹 数据 包 | 入 煌 字 节 | 出 境 数 据 包 | 出 境 字 节 |^| | 
192168313 0 0 140 51.214 
加 三 播 144 52390 ‘0 0 
nl 192168198.254 8 2824 |0 0 
pose 1921681981 0 0 4 1400 
3 1031502 0 0 4 1176 
y > 0 0 4 1.424 
儿 | 192168198128 4 1 一 6 
| 192168.198.254 0 0 1 45326 
1921681981 4 1384 0 0 
Ml |Bootps 1031502 0 0 6 19376 
| 192168313 0 0 76 26296 
x 三 播 255 88230 0 0 
— |IcMP 192168.31.111 ‘676 52728 |676 52728 1s|| 
中 as PX | 
按 F1 获 取 帮 助 EE 了 ba 4 


4-7 网络 中 的 协议 分 布 


加 单 击 “Bar( 流 量 列表 )" 图 标 ,将 显示 整个 网 络 中 计算 机 所 用 带宽 前 10 名 的 情况 。 显 
示 方 式 可 以 是 柱状 图 或 饼 状 图 ,如 图 4-8 所 示 。 

@ 单 击 "Matrix( 网 络 连接 )” 图 标 ,会 出 现 全 网 的 连接 示意 图 。 图 中 , 绿 线 表示 正在 发 
E 的 网 络 连接 , 蓝 线 表示 过 去 发 生 的 连接 。 将 鼠标 放 在 线 上 可 以 看 出 连接 情况 。 将 鼠标 右 
键 在 弹出 的 菜单 中 单 击 , 可 选择 放大 此 图 ,如 图 4-9 所 示 。 

(3) 用 Sniffer Pro 捕获 数据 包 

@ 首次 打开 Sniffer Pro 的 时 候 , 会 弹出 选择 网 卡 对 话 框 ,其 中 会 自动 显示 本 机 当前 拥 
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S| 昌 | a| 恒 | SlulalelElslelal 灾 | 名 | 


可 


图 4-8 网 络 中 带宽 显示 柱状 图 


区 | 日 | 人 a 久 | 全 | 加 | 邮 志恒 | 二 |@@| 肥 | 帮 | 多 | @@| 


过 | 器 | 区 | 瑟 | 纪 名 | 


[®IE [Xl=|= | 


图 4-9 网 络 连 接 示意 图 


有 的 所 有 网 卡 。 只 要 选择 需要 监听 的 网 卡 就 可 以 了 


@ 报 文 捕 区 功能 可 以 在 报 文 捕获 面板 中 完成 。 图 4-10 所 示 是 处 于 开始 状态 的 面板 ， 


各 个 按钮 的 功能 依次 是 捕获 开始 ,捕获 暂停 .捕获 停 止 、 捕 
获 停止 并 查看 、 查 看 .捕获 条 件 编辑 和 选择 捕获 条 件 。 

名 启动 Sniffer Pro 软件 ,在 主 窗口 的 工具 栏 上 单 击 
“捕获 设置 "按钮 ,可 以 对 要 捕获 的 协议 数据 设置 捕获 过 滤 
条 件 。 默 认 情 况 下 ,捕获 所 有 从 指定 网 卡 接收 的 全 部 协议 数 
按钮 会 由 灰色 的 不 可 用 状态 变 成 彩色 的 可 用 状态 。 


sal | 
图 4-10 报 文 捕获 面板 


据 。 捕 获 到 数据 后 ,停止 查看 ” 


@ 选择 “停止 查看 ” , 按 钥 会 出 现 如 图 4-13 所 示 窗 口 ,选择 最 下 面 的 “解码 ”选项 卡 , 即 可 


查看 捕获 后 的 数据 的 解码 。 


以 捕获 计算 机 192. 168. 31. 3 所 有 的 数据 包 为 例 ,操作 步骤 如 下 : 


| 在 主机 列表 中 选择 这 台 计 算 机 ,如 图 4-11 所 示 。 

@ 在 窗口 左 侧 单 击 “ 捕 获 ” 按 钮 问 .出 现 如 图 4-12 所 示 

@ 等 到 图 标 刚 变 红 时 ,表示 已 经 捕获 到 数据 。 单 击 该 
选择 “解码 ”选项 卡 即 可 看 到 捕获 的 所 有 数据 包 。 

以 捕获 Telnet 密码 为 例 , 从 计算 机 192. 168. 31. 111 Te 


界面 。 
图 标 ,弹出 如 图 4-13 所 示 界 面 ， 


net 到 计算 机 192. 168. 31. 3 ,用 
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rp: 


| 2011-07-31 
1.07.31 12011.07.31 


192168 198.128 
192168 198.131 
192 168 198.254 
192 168 198.255 
224001 


20110731 | 20110731 
2011.07.31 | 2011.07.31 
2011-07-31 | 2011.07.31 
2011-07-31 | 2011.07-31 


0 


0 
0 
0 


图 4-11 主机 列表 (2) 


;| ls| 区 ED 刁 | 


EE 会 | 当 | 到 | 副 | 沾 | 全 | 区 | 安 | 多 | 全 


ICMP 

ICMP: Type ” 8 (Echo) 

ICMP: Code = 0 

ICMP: Checksun = SE4E (correct) 


0000000 00 0c 29 ge 6b 41 00 Oc 29 6c al 7c 06 00 45 00 . )A )l 下 
00000010: 00 3c 0f 77 00 00 80 01 6b 87 c0 a8g 1f 6f c0 ag .< .wt 让 ?0 播 
00000020: lf 03 We 00Nsale oo oa ee ee .7abcdef 
bo000030 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijklanopqrstuy 
00000040: 2 6Y 62 63 64 65 66 67 68 69 wabcdefghi 


入 各 9 /0 本 人 主 机 列表 人 Protocol Det 信 硅 奢 统 半 表 为 这 当前 对 话 了 


4-13 查看 捕获 到 的 数据 包 


Sniffer Pro 捕获 到 用 户 名 和 密码 ,操作 步骤 如 下 : 

@ 设 千 规则。 选择“ 捕获" 菜单 中 的 “定义 过 滤器 ”", 然 后 选择 “地 址 ”选项 ,分 别 填写 两 
台 计 算 机 的 IP 地 址 ,如 图 4-14 所 示 。 

@ 在 “高 级 "选项 中 ,在 “可 用 到 的 协议 "中 选择 “IP”>“TCP”>“Telnet”, 将 “数据 包 大 
小 ”设置 为 *All”,“ 数 据 包 类 型 "设置 为 “常规 ”, 然 后 单 击 “ 确 定 ” 按 钮 ,如 图 4-15 所 示 。 

@ 打开 Sniffer Pro 主 界面 , 按 F10 键 或 者 单 击 工具 栏 中 的 黑色 小 三 角 开 始 捕获 数据 
包 , 将 出 现 等 待 捕获 数据 窗口 ,如 图 4-16 所 示 。 

@ 使 用 管理 员 账 号 administrator 登录 被 管理 计算 机 192. 168. 31. 3, 密 码 是 zmczmc， 
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定义 过 渤 器 -捕获 
摘要 。 地 址 | 数据 模式 | 高 级 | 绥 冲 | 
地 址 类 型 : 4) 已 知 的 地 址 : Dragable) ) 


3 到 [专人 的 
肝 广播/ 多 点 传送 地 址 
估 地 址 簿 
4 


192.16831111_ 


DCRC 模 误 
Draers “ 司 


图 4-15 “高 级 ”选项 卡 设置 (1) 


[lull BF | 


号 | 日 | 全 |2| 人 S| 加 | 会 |@| 严 | 斩 |@| 区 | 灾 | 多 | 全 
=I9|x| 
tae | ,| [Festrme [owaton [oe 


图 4-16 等 待 捕获 数据 (2) 


运行 telnet 命令 ,如 图 4-17 所 示 。 
@ 返回 Sniffer Pro 主 界面 ,看 到 望远镜 图 标 变 红 时 ,表示 已 捕捉 到 数据 。 单 击 图 标 败 查 


看 结果 。 选 择 “ 解 码 ” 选 项 卡 可 以 看 到 捕获 到 的 所 有 数据 包 , 可 以 清楚 地 看 到 密码 是 zmczme， 
如 图 4-18 所 示 。 由 于 账号 是 双向 验证 的 ,所 以 用 户 的 账号 信息 会 出 现 重复 两 次 的 现象 。 
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= 


: Docunents and Settings\hdninistrator?telnet 1 


ft Telnet Client 


CTRL+]， 


Internet 区 


Melcone to Microsoft Telnet Service 


login: adninistrator 


ft Telnet § 


: Docunments and Settings\Adninistrator 


图 4-17 远程 登录 命令 (1) 


中 计 || 六] 区 了 
图 | 号 | 号 | 全 | 中 | 从 外 


00000020: 1f 03 04 lu00 17 be 92 名 od 69 cl sd 71 50 有 


nnnnnnon Eneon5o = nN 


Nw /oe Bt 


图 4-18 取得 密码 (1) 


以 捕获 FTP 密码 为 例 , 从 计算 机 192. 168. 31. 111 FTP 到 计算 机 192. 168. 31. 3, 用 
Sniffer Pro 捕获 到 用 户 名 和 密码 ,操作 步骤 如 下 : 

@ 设置 规则 。 选 择 “ 捕 获 " 菜 单 中 的 “定义 过 滤器 ”, 然 后 选择 “地 址 ”选项 ,分 别 填写 两 
台 计 算 机 的 IP 地 址 ,如 图 4-19 所 示 。 


定义 过 恋 品 -捕获 a 
丘 要 ”地址 | 数据 模式 | 高 克 | 组 冲 | 为 设置 

地 址 类 型 : (4) 己 知 的 地 址 ; Dragsble) GE) SN 

加 到 [可 在 的 

模式 占 广播 /多 点 传送 地 址 

人 包 全 加 it 

人 指 除 加 

戎 | 位 置 1 Di 位 置 2 

人 195216831 习 鸡 汪 量 119215531111 

攻 Ch | 

3 CE | 

国 马 一 纪 

9 时 个 加 | 

上 时 “时 芝 | 

Cw | meet 


图 4-19 “地 址 ”选项 卡 设置 (2) 
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@@ 在 “高 级 ”选项 中 ,在 “可 用 到 的 协议 ”中 选择 “IP”>“TCP”>“FTP”, 将 “数据 包 大 
小 ”设置 为 *All”,“ 数 据 包 类 型 ”设置 为 “常规 ”, 然 后 单 击 “ 确 定 ” 按 钮 ,如 图 4-20 所 示 。 


定义 过 让 咽 - 擅 获 TIx| 


揪 要 ”| 地 址 | 数据 模式 高 级 | 组 冲 | 为 设置 


[EE mm 
[mk 


所 昼 IF-wnEs 

后 汐 Iso-Tp4 

记 莘 osrr 到 | 
日 -区 济 Tcz 

[a ns co) 

惨 晶 mm 

[部 GOPHER 可 
数据 包 关 型 [) 


数据 包 大 小 GE) 


图 4-20 “高 级 ”选项 卡 设置 (2) 


@ 打开 Sniffer Pro 主 界面 , 按 F10 键 或 者 单 击 工具 栏 中 的 黑色 小 三 角 开 始 捕 获 数据 


包 , 出 现 等 待 捕 获 数据 窗口 ,如 图 4-21 所 示 。 
;| 串 sl 和 | 的 | 总 | FE 可 
芝 | 回 | 号 | 二 | 会 | 中 | 刘 外 | 要 | 加 | 便 | 区 | 安 | 多 | 本 | 

二 [elz| 

L 各 First Time Duration De 

re EE 

Symptoms 4 2 下 

Objects 


图 4-21 等 待 捕获 数据 (3) 
@ 运行 FTP 命令 FTP 到 一 台 开 有 FTP 服务 的 计算 机 192. 168. 31. 3 上 ,用户 名 是 
ftp-user, 密 码 是 ftp, 如 图 4-22 所 示 。 


二 命令 提示 符 - ftp 192.168.31 


rftp 192.168.31.3 


图 4-22 远程 登录 命令 (2) 


@@ 返回 Sniffer Pro 主 界面 ,看 到 望远镜 图 标 变 红 时 ,表示 已 捕捉 到 数据 。 单 击 图 标 曰 查 
以 看 到 捕获 到 的 所 有 包 , 可 以 清楚 地 看 到 用 户 名 是 ftp -user, 密 


看 结果 。 选 择 “ 解 码 ” 选 项 卡 局 
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码 是 ftp, 如 图 4-23 所 示 。 


中 诈 相交 | 二 | 起 | 你 六 了 
号 | 昌 | || 念 | 划 允 | 由 于 | 汉人 @@| 肥 | 才 | @| 加 | 
目标 地 址 EL3 


序号 
12 


| 漂 地 址 
[192.168.31.111 


TESTIEEGID 加 
[192 .168 .31 3] | 专 李 :Windovw Frozen 69 0:01:15.632 
FTP: C PORT=1168 USER ftp-user | 
[192.168.31.3] |[192.168.31 111|FTP: R PORT=1168 331 Password requ| 91 0:01:15.632 
[192.168.31.111| [192.168.31 3] |TCP: D=21 S; ACK=3163776559 | 60 0:01:15.824 
[192.168.31.111 C PORT. PASS ftp 64 
» 


=1168 
[192.168.31 3] |FTP =1168 0:01:18.812[ 民 


图 4-23 取得 密码 (2) 


4.4.2 任务 2: Wireshark 工具 的 使 用 


1. 任务 目标 
掌握 Wireshark 的 安装 方法 ,熟练 掌握 使 用 Wireshark 分 析 数 据 包 的 3 个 步骤 : 选择 数 
据 包 一 分 析 协 议 一 分 析 数 据 包 内 容 , 并 能 使 用 Wireshark 嗅 探 一 个 FTP 过 程 。 


2, 工作 任务 

(1) 设置 Wireshark 的 过 滤 规 则 ; 
(2) 指定 过 滤器 ; 

(3) 用 Wireshark 捕获 数据 包 。 


3, 工作 环境 
(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相 连 。 
(2) 软件 工具 : Wireshark 工具 。 


4. 实施 过 程 

使 用 Wireshark 时 最 常见 的 问题 是 当 用 户 使 用 默认 设置 时 ,会 得 到 大 量 宛 余 信息 ,以 至 
于 很 难 找到 需要 的 部 分 。 

(1) 设置 Wireshark 的 过 滤 规 则 

在 用 Wireshark 截获 数据 包 之 前 ,应 该 为 其 设置 相应 的 过 滤 规 则 ,可 以 只 捕获 感 兴趣 的 
数据 包 。 要 为 Wireshark 配置 过 滤 规 则 ,首先 在 Wireshark 的 主 界面 选择 “Capture” 一 
“Capture Filter” 菜 单项 ,打开 “Wireshark: Capture Filter” 对 话 框 。 对 话 框 右 侧 的 列表 框 中 
列 出 了 已 经 存在 的 过 滤器 , 单 击 任意 一 个 ,可 以 在 对 话 框 的 下 侧 看 到 该 过 滤器 的 名 称 和 过 滤 
规则 。 可 以 通过 对 话 框 左 侧 的 “New” 和 “Delete” 按 钮 在 对 话 框 中 添加 或 删除 过 滤器 。 在 
Wireshark 中 添加 过 滤器 时 ,需要 为 其 指定 名 字 及 规则 。 

例如 ,要 在 主机 192. 168. 5.2 和 192. 168. 5. 4 之 间 建 立 过 滤器 ,可 以 在 “Filter name” 编 
辑 框 内 输入 过 滤器 名 字 “1”, 在 “Filter string” 编 辑 框 内 输入 过 滤 规 则 “host 192. 168. 5. 2 
and 192. 168. 5. 4”, 然 后 单 击 “New” 按 钮 ,如 图 4-24 所 示 。 

下 面 举例 说 明 几 种 常见 的 过 滤 条 件 。 

@ host 192. 168. 0. 1: 程序 只 捕获 IP 地 址 为 192. 168. 0. 1 的 数据 包 ; 

@ tcp: 只 捕获 TCP 数据 包 ; 

@ port 80: 捕获 TCP 或 UDP 协议 且 端 口 为 80 的 数据 包 ; 

@ not tcp port 3389: 不 捕获 TCP 端口 为 3389 的 数据 包 ; 
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Tireshark- Capture Filter ~ Profile lee =Io|x| 


Et Captare Filter 


wm | 


ICP or UDP port 80 QTP) 


eis | Ji rc eo 


No ARP and no DIS 
Nom-HITP and non-SHTP toffrom ww. wireshark org 


Properties 
Filter nane: [1 | 
Filter string [host 192.168.5.2 and 192. 168.5.4 


we | i 


图 4-24 为 Wireshark 添加 一 个 过 滤器 “1” 


@ src 192. 168.0. 1 and dst 192. 168.0. 2: 捕获 源 地 址 为 192. 168. 0.1 且 目标 地 址 为 
192. 168.0. 2 的 数据 包 。 

(2) 指定 过 滤器 

Wireshark 能 够 同时 维护 多 个 过 滤器 ,网 络 管理 员 可 以 根据 实际 需要 选用 不 同 的 过 滤 
器 ,这 在 很 多 情况 下 是 非常 有 用 的 。 例 如 ,一 个 过 滤器 可 能 用 于 截获 两 台 主机 间 的 数据 包 ， 
而 另 一 个 可 能 用 于 截获 ICMP 包 来 诊断 网 络 故障 。 具 体操 作 步 又 如 下 : 

@ 在 Wireshark 主 界面 单 击 查看 本 机 网 卡 状态 配置 按钮 *Interface List”, 如 图 4-25 所 示 。 


Bnulyre Statisties Telerhony Tocls belp 
随员 忆 Q 宙 | 已 园区 名品 | 人 外 鸣 窜 业 | 旧 加 |QQQO| 配 - 
Filter: vv Expression ,Clear hpply 


国 Interface List 局 Open 
Live 1ist of the capture iaterfaces (counts iaconiag yackets) 一 ”0ma a previowly captured file 
Sat eptwe oa iatertacs Open Receat 


国 ware Aeeelerated MID PCiet Adspter 
多 Sample Captures 
滑 capture options 站 二 二 asf hs 二 地 二 二 
Start a capture with detailed options 


How to Capture 


Shon hy ston to a enereeefol captare etnm 


多 Network Media 


Specific information for captariag on: Eleraet HE, 


OO | 


OT ee Foie DER 到 


图 4-25 Wireshark 主 界面 
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@ 弹出 “Wireshark: Capture Interfaces” 对 话 框 ,从 中 可 以 看 出 本 机 的 网 卡 信息 。 
“Description” 是 可 以 选择 的 网 卡 名 称 ,“IP” 是 对 应 网 卡 的 IP 地 址 。 单 击 “Options” 按 钮 ,如 
图 4-26 所 示 。 


TTireshark: Capture Interfaces 


Deseription I Packets Packets/s Stop 
ED Ware Accelerated MD PCNet Adspter 192.168.5.2 0 9 Start | Options | Letails 


E23 Ess 


4-26 ”为 Wireshark 指定 网 络 接口 


@ 打开 “Capture Options” 对 话 框 ,然后 单 击 “Capture Filter” 按 钮 ,在 对 话 框 右 侧 的 列 
表 框 中 选择 过 滤器 “1”。 单 击 “*OK” 按 钮 后 , 回 到 “Capture Options” 对 话 框 主 界面 ,可 以 看 
到 “Capture Filter” 变 成 了 “host 192. 168. 5. 2 and 192. 168. 5.4”, 如 图 4-27 所 示 。 


k: Capture Options 


Capture 


TInterface; |Local | [rieare Accelerated NID FCNet Adspter- 


IP address; 192.168.5.2 


Linlrleyer hesder type; Ethernet| 了 


[ capture packets in promiseuous mode y 
厂 captare packets in peap-ng format (experimental) rp nn 汪 可 


厂 Linit each packet to 寺 wrees 

Js sz sss2 maise1ss54 区 | 
Capture File(s) Display Options 

File: | FF Yaate list of packets ia real tine 
厂 we multiple files 
所 Wet File every Es | 克 Anatomatie scrolling in live capture 
EE Text file every [sss minute (s) WS Nide capture info dialog 


区 Fine vi 二 一: ee | 
Nome Resolution- 

了 Stop capture after |1 ile) 

Stop Coptore 5 Enable WAC nane resolution 
| 厂 Enable network nane resolution 
三 导 二 eta 
站 Enable transport nane resolution 


Help | Start Cancel 


图 4-27 “Capture Options” 对 话 框 设置 


@ 单 击 “Start” 按 钮 , 即 开始 捕获 主机 192. 168. 5. 2 和 192. 168. 5. 4 之 间 的 数据 包 。 

“Capture Options” 其 他 选项 的 含义 分 别 如 下 : 

@ Interface( 接 口 ) : 该 字段 指定 在 哪个 网 络 接口 (网 卡 ) 进 行 捕获 。 这 是 一 个 下 拉 字 

段 , 只 能 从 下 拉 列 表 中 选择 Wireshark 识别 出 来 的 接口 。 默 认 是 第 一 张 支持 捕获 的 非 

loopback 接口 卡 。 这 里 选择 本 地 (Local) 网 卡 。 实 验 环境 不 同 ,可 能 使 用 不 同 的 网 卡 。 

@ IP address (IP 地 址 ): 所 选 接口 卡 的 IP 地 址 。 如 果 不 能 解析 出 IP 地 址 , 显示 
“unknown” 。 

@ Link-layer header type( 链 路 层 头 类 型 ) : 大 多 数 保持 默认 值 。 

@ Buffer size n megabyte(s) (缓冲 区 大 小 : n 兆 ): 输入 捕获 时 使 用 的 缓冲 区 的 大 小 。 
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这 是 核心 缓冲 区 的 大 小 ,捕获 的 数据 首先 保存 在 这 里 ,直到 写 人 磁盘。 如 果 遇 到 包 丢 失 的 情 
况 ,增加 这 个 值 可 能 解决 问题 。 

@ Capture packets in promiscuous mode( 在 混杂 模式 捕获 包 ): 该 选项 允许 是 否 将 网 
卡 设置 在 混杂 模式 。 如 果 不 指定 , Wireshark 仅仅 捕获 那些 进入 本 地 计算 机 发 送 或 接收 到 
的 数据 包 ,而 不 是 局 域 网 网 段 上 所 有 的 包 。 

@ Limit each packet to n bytes( 限 制 每 一 个 包 为 n 字 节 ): 该 字段 设置 每 一 个 数据 包 
的 最 大 捕获 数据 量 。Disable 选项 默认 是 65535, 对 于 大 多 数 协 议 来 讲 够 了 。 

(3) 用 Wireshark 捕获 数据 包 

单 击 窗口 中 的 “Start” 按 钮 ,会 出 现 所 捕获 数据 包 的 统计 。 想 停止 时 , 单 击 “Capture” 菜 
单 中 的 “Stop” 按 钮 。 

例如 ,当主 机 192. 168. 5. 2 在 命令 行 窗 口 ping 主机 192. 168. 5.4 时 ,会 出 现 如 图 4-28 
所 示 的 捕获 信息 。 


Capturing from Vvare Accelerated AND PCNet kdspter (host 192 16015 2 =|DIxl 
了 Pile Edit View Go Capture Analyre Statistics Telephony Tools Melp 


车 宙 馈 他 亲 | 马 园 关 多 号 | 人 A 外 名 于 入 || 旧 量 |QQQ- 


了 ilter: 下 Expression... Clewr = Apply 


于 时: 158.5. 

2 0.000173 vmware_00:cc:69 Vmware_7e:9f:6c ARP 192. 168.5.4 is at 00; 
3 0.000189 192.168.5.2 192.168.5.4 ICMP Echo (ping) request 
4 0.001918 192.168.5.4 192.168.5.2 ICMP ”Echo (ping) reply 

5 0.993952 192.168.5.2 192.168.5.4 ICMP Echo (ping) request 
6 0.994117 192.168.5.4 192.168.5.2 ICMP Echo (ping) reply 
71.993897 192.168.5.2 192.168.5.4 ICMP Echo (ping) request 
81.994060 192.168.5.4 192.168.5.2 ICMP ”Echo (ping) reply 

9 2.993907 192.168.5.2 192.168.5.4 ICMP ”Echo (ping) request 
10 2.994134 192.168.5.4 192.168.5.2 ICMP ”Echo Cping) reply 


OQ 到 


: Broadcast 
日 日 te ee Protocol A 

Hardware type: Ethernet (0x0001) 

Protoco1 type: 可 (0x0800) 

Hardware size: 

Protocol size: 4 

opcode: request (0x0001) 


[Is gratuitous: False] 
Sender MAC address: Vmware_7e:9f:6c (00:0c:29:7e:9f:6c) 


加 | Pre (Frane), 42 bytes | Packets: 10 Displayed: 10°% | Profile: Default 由 


图 4-28 Wireshark 分 析 数 据 包 


Wireshark 和 其 他 图 形 化 嗅 探 器 使 用 基本 类 似 的 界面 ,整个 窗口 分 为 3 个 部 分 : 最 上 面 
为 数据 包 列 表 , 用 来 显示 截获 的 每 个 数据 包 的 总 结 性 信息 ; 中 间 为 协议 树 ,用 来 显示 选 定 的 
数据 包 所 属 的 协议 信息 ; 最 下 面 是 以 十 六 进 制 形式 表示 的 数据 包 内 容 , 用 来 显示 数据 包 在 
物理 层 上 传输 时 的 最 终 形 式 。 使 用 Wireshark 可 以 很 方便 地 对 截获 的 数据 包 进 行 分 析 , 包 
括 该 数据 包 的 源 地址 .目标 地 址 \ 所 属 协议 等 。 

图 4-28 所 示 是 在 Wireshark 中 对 一 个 HTTP 数据 包 进行 分 析 时 的 情形 。 图 中 最 上 边 
的 数据 包 列表 中 显示 了 被 截获 的 数据 包 的 基本 信息 。 
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中 间 是 协议 树 ,通过 协议 树 可 以 得 到 被 截获 的 数据 包 的 更 多 信息 ,如 主机 的 MAC 地 
址 、IP 地 址 .TCP 端口 号 ,以 及 HTTP 协议 的 具体 内 容 。 通 过 扩展 协议 树 中 的 相应 节点 ,可 
以 得 到 该 数据 包 中 携带 的 更 详尽 的 信息 。 

最 下 面 是 以 十 六 进 制 显 示 的 数据 包 的 具体 内 容 , 这 是 被 截获 的 数据 包 在 物理 媒体 上 传 
输 时 的 最 终 形式 。 当 在 协议 树 中 选中 某 行 时 ,与 其 对 应 的 十 六 进 制 代码 同时 被 选中 ,可 以 很 
方便 地 对 各 种 协议 的 数据 包 进 行 分 析 。 

下 面 举例 说 明 用 Wireshark 嗅 探 一 个 FTP 的 过 程 。 

由 于 FTP 中 的 数据 都 是 明文 传输 的 ,所 以 很 容易 获得 。 

打开 Wireshark 开始 捕获 数据 。 

@ 登录 FTP 服务 器 ,如 图 4-29 所 示 。 


命令 提示 符 - ftp 192 168 5 志 
本 9] 
2683 Mi t Corp- 


cuments and Settings\hdministrator>ftp 192.168.5.4 


onnected to 19 
Microsoft PTP 


38 User zncup logged in 
ftp> 


图 4-29 FTP 服务 器 登录 过 程 


@ 登录 后 , Wireshark 停止 捕获 数据 ,可 以 在 Wireshark 中 看 到 分 析 结 果 。 登 录 的 用 户 
名 是 zmcup, 密 码 是 zmc, 如 图 4-30 所 示 。 


Veare Accelerated MED PCWet_ Adapter (host 192.168.5.2 wnd 192 168.5 4) WIREERREE zjol 
Eile Edit Ym Go Eaptars。 Anuyre Statistics Tealephony Tools dely 


车 计 六 人 市 | 已 加 各 多 吕 | 信 全 守 久 于 年 | 目 加 |QQQQ 昌 | 入 加 罗 党 | 加 


Filter ” Lxpressien Desr Nply 
了 Tine Jooatinstion ET ~ 
工 0.000000 192.168.5.4 TEP Im > Ftp [SYN] Seq=0 Wins64240 Len=0 NSS=1460 S 
2 0.002170 192.168.5.2 TCP Ftp > nim [SYN, ACK] Seq=0 Ack=l Win=64240 Len=O 
3 0.002205 192.168.5.4 Tp nim > ftp [ACK] Seq=1 Ack=l Win=64240 Len=0 
4 0.002473 4 192.168.5.2 FTP Response: 220-Microsoft FTP service 
5 0.186149 2 192.168.5.4 TCP nim > ftp [ACK] Seq=1 Ack=36 win=64205 Len=0 
6 7.480700 5 192.168.5.4 FTP Request: USER zmcup 
7 7.481259 .4 192.168.5.2 FTP Response: 331 Password required for zmcup. 
8 7.623683 5 192.168.5.4 TcP Mim > frp [ACK] Seq=13 Ack=70 win=64171 Len=0 
9 10.433821 192.168.5.2 192.168.5.4 FTP Request: PASS zmc 
10 10.434823 192.168, 5.4 192.168.5.2 FTP Response; 230-welcome 
11 10.576832 192.168.5.2 192.168.5.4 TcP nim> ftp [Ack] seq-23 Ack=110 win=64131 Lenc0 二 
| | 
rame 9: 64 bytes on wire Tts), tured C512 Bits) 


thernet IT，Src: Wware 

Internet Protocol, src: 192- 

Transmission control Protoco1， 

日 Fi1e Transfer protocol (FTP) 
困 PASS zmcNrNn 


9 ,Dst: 192.168.5.4 C192. 68.5.4) 
: nim C1058), Dst Port: ftp (21), seq: 


00 00 Oc 2 
010 00 37 06 
oo20 05 04 Bc 6e 
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图 4-30 ”FTP 登录 结果 


通过 这 样 的 方法 ,可 以 掌握 FTP 的 工作 过 程 
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45 常见 问题 解答 


1. 在 TCP/IP 协议 中 ,数据 的 传输 单位 是 什么 ? 测试 网 络 速度 的 常用 单位 是 什么 ? 

答 : 在 TCP/IP 协议 中 ,数据 被 分 成 若干 个 包 (packets ) 进行 传输 , 包 的 大 小 跟 操作 系 
统 、 网 络 带宽 有 关 ,一 般 为 64、128、256、512、1024 等 , 包 的 单位 是 字 节 。 网 络 速度 通常 用 
Kb/s、KB、Mb/s 来 表示 ,B 和 b 分 别 代 表 Byte( 字 节 ) 和 bit( 比 特 ),1 比特 就 是 0 或 1。 
1B 二 8b。1Mb/s( 浪 比特 每 秒 ) 二 1X 1024/8 二 128(KB/s, 字 节 每 秒 )。 例 如 ,常见 的 ADSL 
下 行 512K 指 的 是 每 秒 传输 512K 比特 (Kb) ,也 就 是 每 秒 512K/8 二 64K 字 节 (KB) 。 

2. 系统 没有 Telnet 服务 怎么 办 ? 

答 : 在 任务 栏 上 单 击 “ 开 始 ”>“ 运 行 ”, 在 “运行 "对 话 框 中 输入 “tlnsvr /service”, 启 动 
Telnet 服务 。 


46 过 关 练 习 


一 、 选 择 题 

1. 网 络 监听 是 ( Ws 
A. 远程 观察 一 个 用 户 的 计算 机 B. 监视 网 络 的 状态 、 传 输 的 数据 流 
C. 监视 PC 系统 的 运行 情况 D. 监视 一 个 网 站 的 发 展 方向 


2. 下 面 关 于 几 个 网 络 管理 工具 的 描述 中 ,错误 的 是 ( 本 
A. netstat 可 用 于 显示 IP、TCP、UDP、ICMP 等 协议 的 统计 数据 
B. Sniffer 能 够 使 网 络 接口 处 于 杂 收 模式 ,从 而 可 接收 网 络 上 传输 的 分 组 
C. winipcfg 采用 MS-DOS 工作 方式 显示 网 络 适配器 和 主机 的 有 关 信 息 
D. tracert 可 以 发 现 数据 包 到 达 目 标 主机 所 经 过 的 路 由 器 和 到 达 时 间 

3.， 了 嗅 探 器 可 以 使 网 络 接口 处 于 杂 收 模式 ,在 这 种 模式 下 ,网 络 接口 ( 让 
A. 只 能 够 响应 与 本 地 网 络 接口 硬件 地 址 相 匹 配 的 数据 帧 

只 能 够 响应 本 网 段 的 广播 数据 帧 

只 能 够 响应 组 播 信息 

.能够 响应 流 经 网 络 接口 的 所 有 数据 帧 

二 、 简 答题 

1. 常用 的 网 络 监听 工具 有 哪些 ? 

2. 网 络 嗅 探 器 的 工作 原理 是 什么 ? 

三 、 操 作 题 

利用 嗅 探 工具 嗅 探 Telnet 远程 登录 密码 。 


只 PR 
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51 用 户 需求 与 分 析 


远程 控制 本 来 用 于 专家 的 远程 协助 ,解决 计算 机 系统 中 的 问题 ,但 该 技术 被 黑客 运用 
后 ,就 变 成 了 攻击 他 人 计算 机 系统 的 一 种 手段 。 通 过 远程 控制 技术 ,黑客 可 以 获取 远程 计算 
机 的 许多 重要 信息 ,例如 个 人 账号 和 密码 等 。 通 过 对 远程 计算 机 的 完全 控制 ,对 其 中 的 所 有 
文件 进行 操作 修改 注册 表 、 监 视屏 幕 操作 的 一 举 一 动 ,甚至 可 以 实时 控制 远程 计算 机 用 户 
的 操作 ,例如 锁定 键盘 、 远 程 关 机 等 ,就 像 在 操作 自己 的 计算 机 一 样 。 


52 预备 知识 


5.2.1 远程 控制 的 原理 


远程 控制 就 是 利用 远程 控制 软件 在 两 台 计 算 机 之 间 建 立 起 一 条 数据 交换 的 通道 ,使 主 
控 端 可 以 向 被 控 端 发 送 指令 ,操纵 被 控 端 完成 某 些 特定 的 工作 。 要 实现 远程 控制 ,需要 满足 
一 些 条 件 : 首先 , 主 控 计 算 机 和 被 控 计 算 机 都 处 在 网 络 中 ; 其 次 ,双方 有 相同 的 通信 协议 ， 
一 般 使 用 TCP/IP 协议 进行 通信 ; 最 后 ,在 两 台 计 算 机 上 都 必须 安装 远程 控制 软件 ,而 且 一 
台 必 须 配 置 成 被 控 端 , 另 一 台 必 须 配 置 成 主 控 端 。 被 控 端 计算 机 等 候 与 主 控 端 计算 机 连接 ， 
而 且 被 控 端 由 主 控 端 控制 ,控制 被 控 端 计算 机 中 的 各 种 应 用 程序 运行 。 主 控 端 负责 发 送 指 
令 和 显示 远程 被 控 端 计算 机 执行 程序 的 结果 ,而 运行 程序 所 需要 的 系统 资源 都 由 被 控 端 计 
算 机 负责 。 


5.2.2 认识 木马 


木马 是 目前 最 主要 的 网 络 安全 威胁 之 一 。 木 马 的 全 名 叫 “ 特 洛 伊 木马 ”, 来 源 于 希腊 神 
话 “ 木 马 屠城 记 ”。 据 4 荷 马 史诗 ?中 描述 ,希腊 皇后 海伦 被 英俊 潇洒 的 特洛伊 王子 巴 德里 诱 
骗 回 国 后 ,希腊 国王 * 冲 冠 一 怒 为 红颜 ”, 派 兵 攻打 特洛伊 城 , 只 因 城 池 坚固 , 花 了 10 年 时 间 
始终 无 果 。 后 有 谋士 献计 制作 一 匹 空心 大 木马 ,内 藏 勇士 ,故意 伴 装 失 败 留 下 木马 。 特 洛 伊 
人 果然 上 当 ,把 木马 作为 战利品 拉 入 城中 大 摆 庆 功 。 深 夜 ,木马 中 的 勇士 趁 特洛伊 人 酒 醇 
沉睡 之 际 , 打 开 城 门 里 应 外 合 ,一 举 攻陷 了 特洛伊 城 。 

木马 是 一 种 基于 C/S( 客 户 端 / 服 务 器 ) 模 式 的 远程 控制 程序 ,具有 隐蔽 性 、 非 授权 性 、 自 
动 运行 性 等 特点 。 隐 蔽 性 是 指 木 马 程序 隐藏 于 服务 器 端 ,即使 计算 机 用 户 发 现 计算 机 感染 
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了 木马 ,也 很 难 确定 木马 的 位 置 。 这 也 是 木马 程序 与 一 般 远程 控制 软件 最 大 的 区 别 。 非 授权 
性 是 指控 制 端 和 服务 器 端 建立 连接 后 ,控制 端 就 拥有 了 服务 器 端的 大 部 分 操作 权限 ,包括 修改 
和 删除 文件 .修改 注册 表 、 控 制 键盘 和 鼠标 等 操作 权限 。 自 动 运行 性 是 指 当 系统 启动 时 木马 程 
序 自动 运行 , 它 通 常 依附 在 系统 的 启动 配置 文件 中 ,例如 win. ini、system. ini、winstart. bat 
以 及 启动 组 文件 中 。 

完整 的 木马 系统 包括 硬件 .软件 和 网 络 连接 3 部 分 。 硬 件 包 括 服务 器 端 和 控制 端 。 服 
务 器 端 是 被 黑客 安装 木马 服务 程序 的 目标 计算 机 , 即 被 远程 控制 的 一 方 ; 控制 端 是 黑客 实 
施 远 程 攻击 的 一 方 , 即 远程 控制 服务 器 端的 一 方 。 网 络 连接 是 服务 器 端 和 控制 端 之 间 的 通 
信 通 道 ,为 服务 器 端 发 送 获 取 的 信息 ,为 控制 端 发 送 控制 命令 提供 渠道 。 

木马 的 伪装 方式 主要 包括 修改 图 标 、 捆 绑 文 件 `. 出 错 提示 、 定 制 端口 .自我 销毁 、 自 动 更 
名 。 有 些 木 马 把 服务 器 端 程序 的 图 标 改 成 jpg、txt、zip、html 等 文件 的 形式 ,具有 很 强 的 迷 
惑 性 ; 有 些 木 马 把 自己 捆绑 在 安装 程序 或 可 执行 文件 exe、com、bat 上 ,程序 运行 时 木马 服 
务 器 端 也 开始 运行 ; 有 些 木马 具有 出 错 显 示 功 能 , 当 木 马 服 务 器 端 用 户 打 开 木 马 程序 时 ,会 
弹出 一 个 错误 提示 框 。 老 式 木 马 端 口 都 是 固定 的 ,新 式 木马 端口 可 以 自 定 义 ,控制 端 用 户 可 
以 指定 1024 一 65535 之 间 的 任 一 端口 作为 木马 端口 。 当 木马 在 服务 器 端 安装 成 功 后 ,原木 
马 文件 自动 销毁 ,服务 器 端 用 户 就 很 难 找到 木马 的 来 源 。 目 前 ,很 多 木马 程序 可 以 由 控制 端 
用 户 命 名 ,给 木马 的 查找 带 来 了 困难 。 


5.2.3 木马 的 发 展 与 分 类 


木马 程序 技术 发 展 至 今 经 历 了 四 代 : 第 一 代 伪 装 型 病毒 .第 二 代 AIDS 型 木马 .第 三 代 
网 络 传播 型 木马 和 第 四 代 隐 形 木 马 。 第 一 代 木 马 不 具 备 传染 性 , 它 通过 伪装 成 一 个 合法 程 
序 诱 驴 用 户 上 当 。 第 二 代 木 马 通过 电子 邮件 进行 传播 。 第 三 代 木 马 增加 了 “后 门 ”功能 和 键 
盘 记 录 功 能 ,具有 伪装 和 传播 两 种 特点 。 第 四 代 木 马 采用 插入 内 核 的 潜入 方式 ,利用 远程 插 
人 线程 .嵌入 DLL 线程 等 技术 实现 程序 隐藏 ,利用 反弹 端口 技术 突破 防火 墙 限制 ,使 被 侵 用 
户 毫 无 察觉 。 

按照 木马 的 特性 ,可 以 把 木马 分 为 破坏 型 密码 发 送 型 .键盘 记录 型 .DoS 攻击 型 .反弹 
端口 型 .代理 型 和 远程 访问 型 等 。 破 坏 型 木马 破坏 并 删除 文件 ,能 自动 删除 目标 主机 上 的 
dll\ini、exe 文件 ,一 旦 感染 ,将 严重 威胁 计算 机 的 安全 。 密 码 发 送 型 木马 能 找到 目标 主机 的 
隐藏 密码 ,并 把 它 发 送 到 指定 邮箱 。Windows 提供 的 密码 记忆 功能 使 用 户 不 必 每 次 都 输入 
账号 和 密码 ,这 类 木马 就 是 利用 这 一 点 获取 目标 主机 的 密码 ,大 多 数 使 用 25 号 端口 发 送 邮 
件 , 在 系统 启动 时 重新 运行 。 键 盘 记 录 型 木马 记录 目标 主机 在 在 线 和 离线 状态 下 敲 击 键盘 
的 情况 ,并 存储 在 log 文件 中 ,发送 到 指定 邮箱 ,黑客 通过 分 析 键 盘 记录 获得 密码 .信用卡 账 
号 等 有 用 信息 。DoS 攻击 型 木马 的 危害 不 是 体现 在 被 感染 的 目标 主机 上 ,而 是 体现 在 黑客 
利用 它 来 攻击 其 他 计算 机 ,给 网 络 和 服务 造成 很 大 的 伤害 。 一 种 类 似 的 DoS 攻击 型 木马 叫 
做 邮件 炸弹 木马 ,目标 主机 一 旦 感染 ,会 生成 各 种 各 样 主题 的 邮件 ,向 特定 邮箱 不 停 发 送 邮 
件 , 直 到 对 方 瘫痪 ,不 能 接收 邮件 为 止 。 与 一 般 的 木马 相反 ,反弹 端口 型 木马 的 被 控制 端 使 
用 主动 端口 ,控制 端 使 用 被 动 端口 ,因为 防火 墙 对 于 进入 的 链接 进行 严格 过 滤 , 对 于 出 去 的 
链接 政 于 防范 。 控 制 端的 被 动 端口 通常 设 为 80, 即 使 目标 主机 用 户 检查 自己 端口 时 发 现 
80 端口 打开 ,也 可 能 以 为 是 自己 在 浏览 网 页 导致 的 结果 。 代 理 型 木马 是 黑客 发 动 攻 击 的 跳 
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板 , 在 入 侵 的 同时 掩盖 自己 的 踪迹 。 通 过 代理 型 木马 ,黑客 可 以 匿名 使 用 Telnet 等 程序 , 掩 
饰 自己 的 身份 。 远 程 访问 型 木马 是 目前 使 用 最 广泛 的 木马 ,是 一 种 基于 远程 控制 的 工具 ,能 
远程 访问 目标 主机 的 硬盘 。 


5.2.4 常见 远程 控制 工具 介绍 
下 面 介 绍 几 种 最 常见 的 远程 控制 软件 。 


1. 单 点 远程 控制 软件 pcAnywhere 

pcAnywhere 是 由 Symantec( 赛 门 铁 克 ) 公 司 出 品 的 远程 控制 软件 ,可 在 Windows XP/ 
2003 平台 上 运行 。 它 功能 强大 ,支持 几乎 所 有 的 网 络 连接 方式 与 网 络 协议 。 利 用 它 , 网 络 
管理 人 员 可 以 轻松 实现 在 本 地 计算 机 上 控制 远程 计算 机 ,使 得 两 地 的 计算 机 可 以 协同 工作 。 

pcAnywhere 的 工作 原理 是 首先 由 主 控 端 向 被 控 端 发 送 远程 控制 请 求 ,控制 端 接 收 到 
请 求 后 给 出 响应 信号 ,要求 对 主 控 端 的 合法 身份 进行 验证 。 此 时 , 主 控 端 必须 向 被 控 端 
提供 远程 控制 所 需要 的 合法 登录 名 和 密码 。 如 果 被 控 端 验证 账号 和 密码 正确 , 则 主 控 端 
可 以 开始 远程 控制 被 控 端 进行 操作 ; 否则 ,被 控 端 会 拒绝 主 控 端 的 控制 请 求 。 被 控 端 利 
用 身份 验证 来 确保 自身 安全 ,还 可 以 决定 哪些 用 户 能 够 连接 ,以 及 用 户 所 具有 的 权限 是 
什么 。 


2. 多 点 远程 控制 软件 QuicklP 

对 网 络 管理 来 说 ,一 台 主 机 要 管理 多 台 计 算 机 ,需要 应 用 到 多 点 远程 控制 技术 。 
QuickIP 就 是 一 款 具有 多 点 远程 控制 技术 的 工具 。QuickIP 是 基于 TCP/IP 的 计算 机 远程 
控制 软件 ,使 用 QuickIP 可 以 通过 局 域 网 或 互联 网 全 权 控 制 远程 的 计算 机 。 服 务 器 可 以 同 
时 被 多 台 客 户 机 控制 ,一 台 客 户 机 也 可 以 同时 控制 多 台 服 务 器 。 

QuickIP 具有 FTP 功能 ,可 以 上 传 、 下 载 远 程 文件 ,以 树 状 展示 远程 计算 机 所 有 磁盘 驱 
动 器 的 内 容 ; 可 以 对 远程 屏幕 进行 录像 ; 可 以 控制 远程 主机 的 鼠标 、 键 盘 , 就 像 操作 本 地 计 
算 机 一 样 ; 可 以 控制 远程 的 录音 设备 ,具有 网 络 电 话 功能 ; 可 以 控制 远程 计算 机 的 所 有 
进程 .窗口 、 程 序 ,控制 远程 主机 重新 启动 ,关机 、 登 录 等 。QuickIP 具有 安全 的 密码 验证 ， 
客户 机 必须 知道 服务 器 密码 才能 进行 控制 ; 网 络 数据 采用 压缩 传输 ,因此 数据 传输 速度 
快 并 且 很 安全 。QuickIP 具有 定位 功能 ,在 不 知道 远程 主机 IP 地 址 或 域名 的 情况 下 ,能 迅 
速 连接 到 远程 主机 上 ; 可 用 于 服务 器 管理 .远程 资源 共享 、 网 吧 机 器 管理 .远程 办 公 、 远 程 
教育 .排除 故障 .远程 监控 等 。QuickIP 可 运行 在 Windows XP/2003 等 系统 上 。 由 于 
QuickIP 将 服务 器 端 和 客户 端 合并 在 一 起 ,所 以 每 台 计算 机 中 都 要 安装 服务 器 端 和 客户 
端 ,这 样 ,安装 了 QuickIP 的 网 络 计算 机 都 可 以 作为 客户 端 控制 其 他 计算 机 ,也 可 以 被 其 
他 计算 机 控制 。 


3. 木马 工具 “ 任 我 行 "软件 

“ 任 我 行 ?是 一 款 功 能 强大 的 远程 控制 软件 , 它 的 功能 仅 次 于 * 灰 鸽子 "远程 控制 软件 ,不 
同 的 是 “ 任 我 行 " 软 件 提供 了 两 种 不 同 的 配置 类 型 ,更 易于 管理 。 黑 客 经 常 利 用 这 款 软件 来 
监控 目标 主机 。 
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53 方案 设计 


方案 设计 如 表 5-1 所 示 。 


任务 名 称 


表 5-1 方案 设计 
远程 控制 


任务 分 解 


1. 使 用 pcAnywhere 远程 控制 计算 机 

(1) 被 控 端 的 配置 

(2) 主 控 端的 配置 

(3) 远程 控制 的 实现 

2. 使 用 QuickIP 对 多 点 计算 机 进行 远程 控制 
(1) 设置 QuickIP 服务 器 密码 

(2) 登录 客户 端 

(3) 查看 QuickIP 服务 器 信息 

3. 使 用 “ 任 我 行 ”软件 对 远程 计算 机 进行 控制 
(1) 配置 正 向 连接 型 服务 端 

(2) 配置 反 向 连接 型 服务 端 

(3) 通过 服务 端 程序 进行 远程 控制 


能 力 目标 


. 能 配置 pcAnywhere 的 被 控 端 

. 能 配置 pcAnywhere 的 主 控 端 

.能 使 用 pcAnywhere 实现 远程 控制 

. 能 设置 QuickIP 服务 器 密码 

.能 登录 QuickIP 客户 端 

. 能 查看 QuickIP 服务 器 信息 

.能 配置 “ 任 我 行 ”软件 的 正 向 连接 型 服务 端 

. 能 配置 “ 任 我 行 ”软件 的 反 向 连接 型 服务 端 

.能 通过 “ 任 我 行 ”软件 的 服务 端 程序 进行 远程 控制 


Oo 和 md- 


知识 目标 


.了解 远 程控 制 的 原理 
. 了 解 木马 的 来 源 

. 熟悉 木马 程序 的 特点 
. 熟悉 木马 的 伪装 方式 
.了解 木马 系统 的 组 成 
. 了解 木 马 的 分 类 与 发 展 


Do 


素质 目标 


1. 掌握 网 络 安全 行业 的 基本 情况 

2. 具有 良好 的 团队 协作 和 沟通 交流 能 力 
3. 培养 良好 的 职业 道德 

4. 树立 较 强 的 安全 ,节约 、 环 保 意识 


工作 任务 五 ”远程 控制 


54 任务 实施 


5.4.1 任务 1: 使 用 pcAnywhere 远程 控制 计算 机 


1. 任务 目标 

了 解 pcAnywhere 远程 控制 的 工作 原理 ,熟练 掌握 pcAnywhere 被 控 端 和 主 控 端 的 配 
置 方法 ,实现 在 本 地 计算 机 上 控制 远程 计算 机 ,使 得 两 地 的 计算 机 可 以 协同 工作 。 

2. 工作 任务 

(1) 被 控 端 的 配置 ; 

(2) 主 控 端 的 配置 

(3) 远程 控制 的 实现 。 

3. 工作 环境 

(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 

(2) 软件 工具 : pcAnywhere 软件 。 

4. 实施 过 程 

(1) 被 控 端 的 配置 

@ 打开 pcAnywhere 主 窗口 ,然后 单 击 *pcAnywhere 管理 器 ? 子 窗口 下 的 “被 控 端 ? 按 
钮 ,再 单 击 “动作 ? 子 窗口 下 的 “添加 ”按钮 ,在 出 现 的 “联机 向 导 - 联 机 方式 ”对话 框 中 , 单 击 
“下 一 步 ?按钮 ,如 图 5-1 所 示 。 


联机 向 导 - 联机 方式 x| 


BB) symantec. 


你 想 为 这 个 联机 使 用 哪 一 个 联机 方式 了 


人 本 起 全 用 cable noden/iSL/IAN/ 撕 号 Internet ISP。 
个 和 相合 用 电话 noden 直接 连接 到 另 一 个 虹 活 noden。 


De 要 了 解 更 多 不 同 的 联机 方式 ， 点 击 帮助 。 


mw | ew | 


图 5-1 “联机 向 导 - 联 机 方式 ”对 话 框 (1) 


@ 在 弹出 的 “联机 向 导 - 验 证 类 型 "中 , 勾 选 “我 想 建 立 一 个 用 户 名 和 密码 ”, 然 后 单 击 
“下 一 步 ” 按 钮 ,如 图 5-2 所 示 。 

@ 在 弹出 的 “联机 向 导 -用 户 名 和 和 密码” 对话 框 中 输入 登录 被 控 端 时 的 用 户 名 和 密码 ， 
然后 单 击 “ 下 一 步 ” 按 钮 ,如 图 5-3 所 示 。 

由 在 弹出 的 “联机 向 导 -摘要 ”对 话 框 中 , 勾 选 “联机 向 导 结 束 后 等 待 主 控 端 计算 机 联 
机 ”, 并 单 击 “ 完 成 ”按钮 ,如 图 5-4 所 示 。 
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联机 向 导 - 验证 类 型 x| 


个 我 想 使 用 存在 的 ndovs 账户 。 


上 户 玫 和 要 码 加 。 


svn] Ww | Ww | 


5-2 “联机 向 导 -验证 类 型 ”对话 框 


联机 向 导 - 用 户 名 和 密码 x| 


9 Symantec。 ” 俘 必 须 建 立 一 个 用 户 名 和 记 码 。 
你 要 建立 怎 宰 的 用 户 名 和 它 码 ? 


要 继续 ， 点 击 下 一 步 . 


| | 


5-3 “联机 向 导 -用 户 名 和 密码 ”对 话 框 


联机 向 导 - 摘要 x| 


9 Symantec。 ”区 了 功 大 联机 向 叶 。 
上 击 反 加 点 击 成人 


你 为 你 的 联机 选择 了 下 列 选 项 : 
连接 类 型 Cable moden/DSL/LAN/ 撕 号 Internet 
验证 类 型 , 用 户 名 和 密码 


mW | wm | 


图 5-4 “联机 向 导 - 摘 要 ”对 话 框 (1) 


工作 任务 五 ”远程 控制 


@ 完成 后 需 对 被 控 端 进行 设置 。 选 中 pcAnywhere 主 窗口 中 “被 控 端 ? 子 窗口 中 的 “新 
被 控 端 ”图标 ,然后 单 击 “ 动 作 ” 子 窗口 中 的 “属性 ”按钮 ,如 图 5-5 所 示 。 


E| 


ick Comnect 
剑 存在 》 pchnywhere 编码 


5-5 pcAnywhere 主 窗 口 (1) 


@ 在 弹出 的 “被 控 端 属性 : 新 被 控 端 ?对 话 框 中 选择 “连接 信息 ?选项 卡 ,在 设备 列表 中 
选中 “TCP/IP” 选 项 。 如 果 是 局 域 网 ,也 可 以 选用 SPX、NetBIOS 协议 ,然后 单 击 “ 应 用 ” 按 
钮 ,如 图 5-6 所 示 。 


x| 
连接 信息 | 设置 “| 呼 od 者 | 安全 性 选项 | 安全 性 选项 | 会议。 | 备注 | 保护 项 目 | 


以 
[om | 


¥ TCP/I 
口 ISDN 透 过 CAPI 2.0 


到 条 应 用 内 姑且 
图 5-6 “被 控 端 属性 : 新 被 控 端 "对 话 框 
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@ 选择 “呼叫 者 ”选项 卡 , 然 后 右 击 呼叫 者 “属性 ”按钮 。 
选择 “权限 ”选项 卡 , 将 “呼叫 者 权限 ”设置 为 超级 用 户 , 并 依次 单 击 “ 应 用 ”和 “确定 ” 
按钮 ,如 图 5-7 所 示 。 


呼叫 者 属性 :user x| 
验证 ”权限 “| 备注 | 保护 项 目 | 
呼叫 
下 是 贡 用 户 区) - 呼叫 者 对 守 控 端 机 器 有 完 问 欧 访问 权 。 
个 指定 个 别 呼 叫 者 权限 @E) 
厂 办 许 呼叫 者 活 除 屏 天 加 [2 
太公 许 呈 o 者 取 稍 被 近 沪 上 ) [2 
所 区 许 叶 叫 痢 重新 局 动 沪 近江 
时间 限制 
三 各 会 话 认 话 的 时 间 限 制 @) 三 $ 
厂 三 4 天 有 作 雪 时 设 定名 


钙 三 查缉 动 器 访问 癌 ) | 
连接 后 运行 的 命令 到 ) 


取消 应 用 的 才 助 


图 5-7 “权限 ”选项 卡 


(2) 主 控 端 的 配置 

@ 打开 pcAnywhere 主 窗口 ,然后 单 击 *pcAnywhere 管理 器 ? 子 窗口 下 的 “ 主 控 端 ? 按 
钮 ,再 单 击 “ 动 作 ” 子 窗口 下 的 “添加 ”按钮 。 在 出 现 的 “联机 向 导 -联机 方式 "对话 框 中 , 单 击 
“下 一 步 ” 按 钮 ,如 图 5-8 所 示 。 


联机 向 导 - 联机 方式 _ 


Symantec- 


你 想 为 这 个 联机 使 用 哪 一 个 联机 方式 ? 


人 要 全 用 seble noden/TSI/IAN/ 搞 如 Internet ISF. ] 
人 戈 想 使 用 电话 moden 直接 这 接 到 多 一 个 电 笑 modem。 


‘es 要 了 解 更 多 不 同 的 联机 方式 ， 点 击 帮助 。 


\ \ 要 台 续 ， 点 击 下 -一步 


一 | 和 | 


5-8 “联机 向 导 - 联 机 方式 ”对 话 框 (2) 


@ 在 出 现 的 “联机 向 导 -目标 地 址 ”对 话 框 中 输入 被 控 端 计算 机 的 IP 地 址 ,然后 单 击 
“下 一 步 ” 按 钮 ,如 图 5-9 所 示 。 如 果 在 局 域 网 中 ,也 可 以 不 加 设置 , 主 控 端 会 从 网 络 中 搜索 
所 有 开启 的 被 控 端 计算 机 。 

@ 如 果 想 让 主 控 端 在 联机 向 导 结 束 后 联机 到 被 控 端 ,可 在 弹出 的 “联机 向 导 - 摘 要 ”对 话 
框 中 色 选 “联机 向 导 结 束 后 ,联机 到 一 个 被 控 端 ?选项 ,然后 单 击 “ 完 成 "按钮 ,如 图 5-10 所 示 。 

@ 设置 主 控 端 的 属性 。 选 中 pcAnywhere 主 窗口 中 * 主 控 端 ? 子 窗口 中 的 “新 的 主 控 
端 " 图 标 , 然 后 单 击 “ 动 作 ” 子 窗口 中 的 “属性 ”按钮 ,如 图 5-11 所 示 。 


工作 任务 五 ”远程 控制 77 
= 


联机 向 导 - 目标 地 址 xl 


$Y symantec. a ， EE 


MD: 206 204 sz 71。 


你 格 要 联机 电脑 的 I 地 址 是 什么 了 


sz. 168.31.3 


要 继续 ， 点 击 下 一 步 - 


| | 


5-9 “联机 向 导 -目标 地 址 ?对 话 框 


联机 向 导 - 摘要 x 
9S Symantec。 ”人 二 功 寺 志 联机 向 导 。 
这 国 。 点 击 完了 保存 
你 为 你 的 联机 选择 了 下 列 选 项 - 
连接 类 型 : Cable meden/DSL/LAN/ 拓 号 Internet ISF 


J 了 P 地 址 : 192. 168.31.3 


Ww | ww | 


图 5-10 “联机 向 导 -摘要 ”对 话 框 (2) 


= 上 jx 区 


今 symantec. 
可 
I EE Ls 


oick Connect 
TP/IP 192.166.31.3 。 ”远程 遂 控 peAn 


图 5-11 pcAnywhere 主 窗口 (2) 
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@ 在 弹出 的 “ 主 控 端 属性 : 新 的 主 控 端 "对 话 框 中 选择 “连接 信息 ”选项 卡 , 在 设备 列表 
中 选中 “TCP/IP” 选 项 。 如 果 是 局 域 网 ,也 可 以 选用 SPX、NetBIOS 协议 ,并 单 击 “ 应 用 ” 按 
钮 ,如 图 5-12 所 示 。 
x 


连接 信息 | 设置 | 自动 化 任务 | 安全 性 选项 | 备注 | 保护 项 目 | 


hs. 


口 ISDN 透 过 CAFI 2.0 


Ce ] wm | saw | ww | 


5-12 “ 主 控 端 属性 : 新 的 主 控 端 ?对 话 框 


@ 在 “设置 ?选项 卡 中 ,确认 要 控制 的 网 络 被 控 端 PC 或 IP 地 址 ,并 在 登录 信息 栏 勾 选 
“一 旦 连接 即 自动 登入 至 被 控 端 "。 在 登录 名 称 和 密码 处 输入 被 控 端 的 登录 名 与 密码 ,并 依 
次 单 击 “ 应 用 ”和 “确认 ”按钮 。 

(3) 远程 控制 的 实现 

O@ 在 被 控 端 主机 的 pcAnywhere 主 窗口 双击 新 建 的 被 控 端 图 标 ,使 其 处 于 等 待 状态 。 

@ 在 主 控 端 的 pcAnywhere 主 窗口 双击 新 建 的 主 控 端 图 标 , 即 可 开始 远程 连接 。 

Gg) 在 主 控 端 与 被 控 端 连接 成 功 后 ,被 控 端的 桌面 将 出 现在 主 控 端 的 主 窗 口中 。 用 鼠标 
单 击 窗口 的 桌面 ,就 可 以 像 使 用 本 地 计算 机 一 样 操作 远程 计算 机 了 。 通 过 窗口 上 部 的 按钮 ， 
还 可 以 进行 文件 传输 、 语 音 对 话 、 屏 幕 捕获 、 重 启 被 控 端 等 操作 。 

@ 如 果 要 停止 远程 控制 的 操作 ,可 单 击 窗口 上 方 的 “结束 会 话 ” 按 钮 。 


5.4.2 任务 2: 使 用 QuickIP 对 多 点 计算 机 进行 远程 控制 


1. 任务 目标 

熟练 掌握 使 用 QuickIP 通过 局 域 网 或 互联 网 全 权 控 制 远程 计算 机 。 服 务 器 可 以 同时 被 
多 台 客 户 机 控制 ,一 台 客 户 机 也 可 以 同时 控制 多 台 服 务 器 。 利 用 QuickIP, 以 树 状 展 示 远 程 
计算 机 所 有 磁盘 驱动 器 的 内 容 , 对 远程 屏幕 进行 录像 ,控制 远程 主机 的 鼠标 、 键 盘 , 控 制 远程 
计算 机 的 所 有 进程 ,窗口 ,程序 ,控制 远程 主机 重新 启动 、 关 机、 登录 等 。 

2. 工作 任务 

(1) 设置 QuickIP 服务 器 密码 ; 

(2) 登录 客户 端 ; 

(3) 查看 QuickIP 服务 器 信息 。 


工作 任务 五 ”远程 控制 


3. 工作 环境 

(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 

(2) 软件 工具 : QuickIP 软件 。 

4. 实施 过 程 

(1) 设置 QuickIP 服务 器 密码 

QuickIP 具有 安全 的 密码 验证 功能 ,客户 端 必须 知道 服务 器 端的 密码 才能 进行 控制 。 


因此 ,在 第 一 次 启动 QuickIP 服务 器 程序 时 ,会 提示 设置 本 地 服务 器 的 密码 ,具体 的 操作 步 
又 如 下 : 


@ 启动 QuickIP 服务 器 时 会 弹出 一 个 提示 对 话 框 ,提示 用 户 设置 密码 , 单 击 “ 确 定 ” 按 
钮 即 可 ,如 图 5-13 所 示 。 


QuickIP 服务 器 x| 
BAN 您 还 没有 设置 服务 器 的 访问 密码 ， 为 了 安全 ， 请 立即 修改 密码 。 


[eam | 


5-13 设置 密码 提示 窗 


@ 在 “修改 本 地 服务 器 的 密码 ”对 话 框 中 输入 要 设置 的 密码 ,然后 单 击 “ 确 认 ” 按 钮 ,如 
图 5-14 所 示 。 


@ 密码 修改 成 功 后 会 弹出 一 个 提示 对 话 框 , 单 击 “ 确 定 ” 按 钮 关闭 ,如 图 5-15 所 示 。 
EE 


强 由 改 本 地 服务 器 密码 
se x| 
本 放下 修改 成 功 。 
密码 区 分 大 小 写 
Ce ww | [| 
图 5-14 “修改 本 地 服务 器 的 密码 "对 话 框 (1) 图 5-15 密码 修改 成 功 提示 窗 
(2) 登录 客户 端 


@ 启动 黄色 图 标的 “QuickIP 客户 机 ”程序 ,然后 在 工具 栏 中 单 击 “ 添 加 主机 ”按钮 ,如 
图 5-16 所 示 。 


RE -Io|x 
la 

| 5 Xx 伙 的 从 9 所 加 Ww 名 
添加 主机 。 取消 主机 列表 扫描 主机 屏 到 控制 网 络 电话 主机 信息 。 配置 。 本 地 录音 录像 回放 ”大助 
和 选择 主机 [1270017314 | 外 要 QuickIp 


图 5-16 “QuickIP 客户 机 ? 主 窗 口 
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@ 输入 要 添加 主机 的 IP 地 址 、 端 口 以 及 密码 ,然后 单 击 “ 确 认 ” 按 钮 ,如 图 5-17 所 示 。 


大 添加 远程 主机 x| 
主机 lewmas 本 
关口 314 
室友 Fr 
EE ET 


图 5-17 “添加 远程 主机 ”对 话 框 


@ 返回 客户 端 主 窗口 , 单 击 刚 添加 的 远程 主机 IP 地 址 前 面 的 “十 ”号 , 即 可 看 到 所 有 的 
远程 控制 功能 ,如 图 5-18 所 示 。 


日 - 钻 远程 主机 


田 上 127.0.0.1:7314 
日 


田 -名 远 得 磁盘 3E 动 器 

由 -久远 程控 制 

由 - 七 远程 主机 窗口 列表 

田 - 启 ,远程 主机 进程 列表 

由 - % 远程 主机 装载 模块 列表 
远程 主机 的 服务 列表 (for Windows 2000/NTAXP only) 
远程 主机 的 工作 站 列 康 (for Windows 2000/MTAXP only) 

楚 访问 远程 主机 的 主页 
©" 3 1ls2.168.31.3:7314 项 数 =6 4 


5-18 客户 端 主 窗口 


@ 单 击 “远程 磁盘 驱动 器 ?选项 ,弹出 登录 对 话 框 ,输入 登录 密码 后 单 击 * 确 认 ” 按 钮 完成 


本 

@ 登录 成 功 后 ,可 以 看 到 远程 目标 主机 的 所 有 磁 i 
盘 驱 动 器 盘 符 。 可 以 对 磁盘 进行 任何 操作 ,如 图 520 | 由 二 语 一 一 一 一 一 
展开 * 远 程控 制 * 项 ,然后 双击 “屏幕 控制 *, 即 

“远程 控制 "项 ,然后 双击 “ bi 
[_ 确 认 w) | 取消 占 

可 实现 远程 屏幕 控制 操作 ,如 图 5-21 所 示 。 Fo ewe | 

@ 在 “QuickIP 客户 机 ”的 工具 栏 中 单 击 “ 主 机 列 图 5-19 登录 提示 框 


表 ” 按 钮 ,如 图 5-22 所 示 。 
在 “编辑 远程 主机 ”对 话 框 中 可 添加 、 删 除 \ 修 改 远 程 主机 。 设 置 完成 后 单 击 “ 保 存 ” 
按钮 退出 ,如 图 5-23 所 示 。 
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中 小 讲 程 


5-20 ”磁盘 操作 菜单 


pi 


昌 妆 的 f @ 加 名 贸 
尖 加 主机 了 主机 列表 扫 搓 主机 屏 关 控制 网 络 电话 主机 信息 过 本 地 录音 录 伪 回放 。 才 助 
约 。 过 绎 主机 | 1921683137314 | 回 苞 QuickIP 


127.0.0.1:7314 
192, 168.31.3:7314 


5-21 “远程 控制 ”项 


# 编辑 远程 主机 x 
远程 主机 管理 
总 共 2 个 主机 


安 
主机 列表 
图 5-22 “主机 列表 ”按钮 图 5-23 “编辑 远程 主机 ?对 话 框 


(3) 查看 QuickIP 服务 器 信息 
@ 启动 红色 图 标的 “QuickIP 服务 器 管理 ”程序 ,在 其 主 界面 中 可 以 看 到 客户 机 上 的 所 
有 操作 信息 ,如 图 5-24 所 示 。 
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QuickIP 服 务 器 管理 | 
QuickIP 服务 器 
| 天 区 要 区 坊 : 正二 EE E07 
服务 器 信息 : zmcserver2003[192. 168. 198. 128:7314 192 168. 31.3:7314 
连接 的 客户 机 。 2 


192 156.31.111-1075 正 活 款 


图 5-24 “QuickIP 服务 器 管理 ” 主 窗口 


@ 在 “QuickIP 服务 器 管理 "对 话 框 中 单 击 “修改 监听 端口 "按钮 ,如 图 5-25 所 示 。 
@ 在 “修改 服务 器 监听 端口 "对话 框 中 清除 “使 用 默认 的 监听 端口 " 复 选 框 即 可 修改 端 
口 。 修 改 后 , 单 击 “ 确 认 " 按 钮 。 


@ 在 “QuickIP 服务 器 管理 ”对 话 框 中 单 击 “ 修 改 密码 ”按钮 ,打开 “修改 本 地 服务 器 的 
密码 ”对 话 框 。 
@ 在 “修改 本 地 服务 器 的 密码 ”对 话 框 的 第 一 个 文本 框 中 输入 以 前 的 密码 ,在 后 面 的 两 
个 文本 框 中 输入 相同 的 修改 后 的 密码 ,然后 单 击 “ 确 认 ” 按 钮 ,如 图 5-26 所 示 。 
| “修改 本 地 服务 器 的 密码 oD 
修改 本 地 服务 器 密码 


修改 服务 器 监听 满 同 大 站 :| 
请 输入 服务 器 的 贻 听 六 口 


图 5-25 “修改 服务 器 监听 端口 ?对 话 框 图 5-26 “修改 本 地 服务 器 的 密码 "对话 框 (2) 


5.4.3 任务 3: 使 用 * 任 我 行 ?软件 对 远程 计算 机 进行 控制 

1. 任务 目标 

熟练 掌握 “ 任 我 行 ? 软 件 服务 端的 配置 方法 ,能 利用 该 软件 对 目标 计算 机 进行 捕获 屏幕 、 
视频 监控 ,服务 管 理 、. 进 程 管理 .注册 表 监 控 等 操作 。 

2. 工作 任务 

(1) 配置 正 向 连接 型 服务 端 ; 

(2) 配置 反 向 连接 型 服务 端 ; 

(3) 通过 服务 端 程序 进行 远程 控制 。 


工作 任务 五 ”远程 控制 


3. 工作 环境 


(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 
(2) 软件 工具 :“ 任 我 行 ? 软 件 。 


4. 实施 过 程 


“ 任 我 行 ? 软 件 与 *“ 灰 铝 子 ?软件 的 设置 和 使 用 非常 相似 ,都 需要 生成 服务 端 。 只 有 通过 
这 种 生成 的 服务 端 ,木马 程序 才能 被 黑客 远程 控制 。 具 体 的 操作 步骤 如 下 : 
(1) 配置 正 向 连接 型 服务 端 


@ 打开 “ 任 我 行 ”软件 的 主 窗口 ,然后 单 击 “ 配 置 服务 端 "按钮 ,如 图 5-27 所 示 。 


5-27 “ 任 我 行 " 软 件 主 窗口 


@ 在 打开 的 “选择 配置 类 型 "对 话 框 中 列 出 了 5 种 配置 情况 ,用 户 可 根据 情况 选择 合适 
的 方式 。 这 里 介绍 配置 正 向 连接 型 服务 端的 方法 ,因此 单 击 * 正 向 连接 型 "按钮 ,如 图 5-28 
所 示 。 


@ 在 打开 的 “ 正 向 连接 ”对 话 框 中 ,如 果 用 户 想 修改 服务 端的 显示 图 标 , 可 在 “服务 端 图 
标 修改 " 框 中 单 击 “ 更 换 图 标 ” 按 钮 ,如 图 5-29 所 示 。 


二 这 和 

sn 
-请 使 用 正 向 连接 

| 从 和 号 上 网 ， 对 方 在 局 域 网 或 者 网 吧 。 

次 庆 居 入 反对 上 风 ， 


Ee 


|C: Progran Files\ 任 我 行 工作 室 \ 光 | |。 


图 5-28 “选择 配置 类 型 "对话 框 (1) 图 5-29 “ 正 向 连接 ”对 话 框 


@ 在 打开 的 “打开 ”对 话 框 中 选择 需要 的 图 标 样式 ,然后 单 击 “ 打 开 ” 按 钮 返回 “ 正 向 连 
接 ” 对 话 框 ,如 图 5-30 所 示 。 
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图 5-30 “打开 ”对 话 框 
@ 切换 到 “邮件 设置 ”选项 卡 , 在 该 选项 界面 中 可 以 设置 使 用 邮箱 接收 IP 信息 ,一 般 情 
况 下 ,这 里 的 选项 保持 默认 设置 即 可 ,如 图 5-31 所 示 。 


@ 切换 到 “安装 信息 ”选项 卡 ,在 此 可 以 改变 服务 端 安装 路 径 和 服务 端 安 装 名 称 等 信 
息 。 一 般 情况 下 ,黑客 在 配置 服务 端 时 会 选择 “自动 隐藏 安装 文件 ” 复 选 框 和 “2000/XP/ 


服务 注 安 装 路 径 : [Sytm” 问 


服务 端 安装 名 称 : [ZEandlll exe 回 


保存 路 径 : |C:\Proaram iles\ 任 我 行 工作 室 \ 远 和 


|C:\Progran Files\ 任 我 行 工作 室 \ 远 


图 5-31 “邮件 设置 "选项 卡 图 5-32 “安装 信息 ”选项 卡 (1) 


@ 设置 完成 后 切换 到 “启动 选项 ”选项 卡 , 然 后 选中 “远程 主机 是 Win9X 写 入 注册 表 启 
动 项 ”和 “远程 主机 是 2000/ XP 注册 为 服务 启动 " 复 选 框 。 在 “服务 启动 项 "组合 框 中 ,黑客 
通常 会 更 改 显 示 名 称 、 服 务 名 称 及 描述 信息 ,以 便 增强 服务 端的 隐蔽 性 。 在 此 保持 默认 设 
置 ,如 图 5-33 所 示 。 

切换 到 “提示 信息 ”选项 卡 , 然 后 选中 “安装 完成 后 显示 的 提示 信息 ” 复 选 框 ,并 在 “ 信 
息 标题 "“ 信 息 正 文 ”文本 框 及 “图 标 类 型 "“ 按 钮 类 型 "下 拉 列 表 文 本 框 中 设置 提示 信息 ,如 
图 5-34 所 示 。 
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保 计量 径 : [CWProm wm Files\ 任 我 行 工作 全 VE [| 保 友 路 径 : 一 | 


图 5-33 “启动 选项 ”选项 卡 图 5-34 “提示 信息 ”选项 卡 (1) 


@ 生成 服务 端 后 ,如 果 用 户 中 了 木马 程序 ,通常 会 显示 设置 的 提示 信息 。 提 示 信 息 设 
置 完成 后 , 单 击 “ 预 览 "按钮 进行 预览 ,如 图 5-35 所 示 。 

四 为 了 增强 服务 端 程序 的 隐蔽 性 ,黑客 通常 会 撤 选 “安装 完成 后 显示 的 提示 信息 ” 复 选 
框 。 这 里 同样 不 选中 该 复 选 框 ,如 图 5-36 所 示 。 接 下 来 ,需要 设置 服务 端 程序 的 保存 路 径 。 


任 我 行 工作 室 x| 
eS 服务 端 程序 安装 完毕 


uw | ww | 


图 5-35 预览 效果 图 5-36 “提示 信息 ”选项 卡 (2) 


@ 在 “ 正 向 连接 ”对 话 框 底部 的 “保存 路 径 ” 文 本 框 中 设置 服务 程序 的 保存 路 径 , 然 后 单 
击 “ 生 成 服务 端 2 按钮 ,服务 端 程序 生成 之 后 会 打开 一 个 提示 对 话 框 , 如 图 5-37 所 示 。 

@@ 单 击 提示 对 话 框 中 的 “确定 ”按钮 ,此 时 正 向 连接 型 服务 端 程序 就 成 功 生 成 了 ,如 
图 5-38 所 示 。 


生成 服务 端 完成 建议 修改 一 下 生成 的 服务 端 名 称 
安装 服务 端 前 ,请 先 征询 该 电脑 使 用 管理 者 的 同意 
不 得 将 服务 端 非法 安装 或 植 入 ,否则 一 切 后 果 自 负 


服务 端 生成 路 径 : CAProgram Files\ 任 我 行 工作 室 \ 远 程控 制 任 我 


行 \ 服 务 端 程序 .exe 


a 


图 5-37 “ 任 我 行 提示 ”窗口 图 5-38 正 向 连接 型 服务 端 程序 
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(2) 配置 反 向 连接 型 服务 端 

a 在 “ 任 我 行 ” 程 序 的 主 窗口 中 单 击 “ 配 置 服务 端 ” 按 钮 ,打开 “选择 配置 类 型 ”对 话 框 ， 
如 图 5-39 所 示 。 

@ 单 击 对 话 框 中 的 “ 反 向 连接 型 "按钮 ,打开 “ 反 向 连接 ”对 话 框 。 切 换 到 “自动 上 线 ” 选 
项 卡 , 然 后 在 “DNS 解析 域名 ”下 拉 列 表 文本 框 中 选择 本 机 的 域名 解析 地 址 。 在 “连接 密码 ” 
文本 框 中 可 以 设置 一 个 连接 密码 ,还 可 以 更 改 主机 上 图 像 的 显示 样式 及 服务 端的 图 标 ,如 
图 5-40 所 示 。 设 置 完成 后 ,切换 到 “安装 信息 ”选项 卡 。 


请 选择 要 配置 的 服务 端 程序 的 连接 类 型 了 
2 8: 园 [于] 上 人 旭 : [ERERERL 


和 “地 务 六 | 

域 网 中 ， 对 方 是 ADSL 直 接 拔 号 上 网 。 
FF 
号 上 网 ， 对 方 在 局 域 网 或 者 3。 EN | 


保存 路 径 : | From Files\ 任 我 行 工作 室 \| [ )] Cem) 


图 5-39 “选择 配置 类 型 "对 话 框 (2) 图 5-40 “ 反 向 连接 ”对 话 框 


@ 在 “安装 信息 ”选项 卡 中 根据 需要 进行 设置 ,如 图 5-41 所 示 。 

@ 设置 完成 后 切换 到 “启动 项 目 ” 选 项 卡 , 然 后 选中 “远程 主机 是 Win9X 写 入 注册 表 启 
动 项 "和 “远程 主机 是 2000/XP 注册 为 服务 启动 " 复 选 框 。 在 “服务 启动 项 ”组合 框 中 ,黑客 
通常 会 更 改 显示 名 称 、 服 务 名 称 及 描述 信息 ,以 增强 服务 端的 隐蔽 性 。 在 此 保持 默认 设置 ， 
如 图 5-42 所 示 。 


: [Systen> 回 
[Famall. exe 回 


:MWindows Rux£ 
FRnall 
:| 任 我 行 工作 室 


三 无 相生 为 特征 局 动 服务 注 


EeenAERETRE EL 


图 5-41 “安装 信息 ”选项 卡 (2) 图 5-42 “启动 项 目 ” 选 项 卡 


@ 切换 到 “提示 信息 ?选项 卡 ,然后 根据 需要 进行 设置 。 设 置 完成 后 ,在 “ 反 向 连接 ?对 
话 框 底部 的 “保存 路 径 ” 文 本 框 中 设置 服务 程序 的 保存 路 径 , 然 后 单 击 “ 生 成 服务 端 ”按钮 。 反 
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向 连接 型 服务 端 程序 生成 之 后 同样 会 打开 一 个 
提示 对 话 框 , 单 击 “ 确 定 ” 按 钮 ,如 图 5-43 所 示 。 

(3) 通过 服务 端 程序 进行 远程 控制 

Q@ 打开 “ 任 我 行 " 程 序 主 窗口 ,然后 单 击 
“ 正 向 连接 ”按钮 。 在 “连接 主机 ”文本 框 中 输 
入 局 域 网 中 被 控 主 机 的 IP 地 址 ,然后 单 击 窗口 
右 侧 的 “连接 ”按钮 。 如 果 连 接 成 功 , 在 主 窗口 
的 底部 会 出 现 提示 信息 ,如 图 5-44 所 示 。 

@ 单 击 主 窗口 左 侧 窗 格 中 “远程 电脑 ” 选 
项 前 面 的 “十 ”号 ,将 展开 被 控 计算 机 的 磁盘 分 
区 。 单 击 相应 的 磁盘 分 区 , 即 可 在 右 侧 窗 格 中 
浏览 到 其 中 的 文件 内 容 , 如 图 5-45 所 示 。 


久远 程控 刺 任 我 行 10,9 


情急 _ 还 程控 制 任 我 行 10.9 


2011-7-29 18:32:50 | 

2011-4-1 11:29:00 
回 Teplates 2011-3-17 14:18:46 
加 sendro 2011-3-17 14:45:04 
Printhood 2011-3-17 14:18:46 
Dietitood 2011-3-29 9:21:02 
BLocd settings 2011-3-17 14:18:46 1 
Bcookies 2011-3-18 18:05:48 
回 Application Data 2011-3-17 14:45:08 
C ss 2011-3-17 14:45:12 


图 5-45 浏览 远程 电脑 
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@ 黑客 若 想 将 被 控 远 程 主机 中 的 文件 复制 到 自己 的 计算 机 中 ,可 以 选中 需要 复制 的 文 


liee. 


168.31.3 
,二 


2011-3-17 22:54:10 
2011-3-16 18:18:56 
2011-3-18 13:52:42 
2010-12-10 10:01:44 
2007-12-3 8:47:32 
2006-9-11 4:29:20 


由 一 回 Docments 
回 ftp 

局 Inetpwh 

辐 Proerm Fi 
BD Publie 
© REcrcUPR 
BD System Yol 
局 nmoys 

Dm 车 


DP mon 


dd 


图 5-46 “文件 下 载 ?菜单 项 


@ 在 弹出 的 “浏览 文件 夹 ” 对 话 框 中 选中 合适 的 存放 位 置 ,然后 单 击 “ 确 定 ” 按 钮 ,如 
图 5-47 所 示 。 

@ 在 弹出 的 “下 载 文件 ”对 话 框 中 单 击 * 开 始 下 载 ” 按 钮 ,文件 便 开始 从 远程 主机 下 载 ， 
如 图 5-48 所 示 。 


ents and Settings 


由 司 Inetpub -0 CA 
下 文件 名 称 : 考试 大 岗 txt 
由 国 mpsb 下 载 到 : C:\Documents and SettingsVhdninistrator\ 点 面 
DD meserver2003 
RB CRMEYOL cr_o) 司 沽 路径 : C.\meserver2003\ 
0 
CC 全 断 点 续 传 。 三 外 攻 模 式 [EU 
图 5-47 “浏览 文件 夹 ” 对 话 框 5-48 “下 载 文件 ”对 话 框 


@ 下 载 完成 后 ,打开 文件 的 存放 路 径 可 找到 下 载 的 文件 。 

@ 计算 机 被 远程 控制 后 ,黑客 会 将 木马 程序 放 入 被 控 计算 机 ,方法 是 在 被 控 计 算 机 中 
找到 要 存放 文件 的 位 置 , 然 后 在 “ 任 我 行 ”程序 的 主 窗口 右 侧 的 窗 格 中 右 击 ,从 弹出 的 快捷 菜 
单 中 选择 “文件 上 传 ”菜单 项 。 

在 打开 的 “请 选择 上 传 文件 ?对 话 框 中 找到 要 上 传 的 文件 ,然后 单 击 “打开 ?按钮 。 在 
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打开 的 “上 传 文件 ”对 话 框 中 单 击 开 始 上 传 ”按钮 ,被 选中 的 文件 便 会 上 传 到 远程 被 控 计算 
机 中 的 指定 位 置 。 

如 果 黑 客 要 删除 远程 被 控 主 机 中 的 文件 , 需 在 * 任 我 行 ?程序 主 窗 口 的 有 侧 窗 格 中 找 
到 并 选中 该 文件 ,然后 右 击 , 从 弹出 的 快捷 菜单 中 选择 “删除 ”菜单 项 。 在 打开 的 确认 删除 对 
话 框 中 单 击 “确定 ”按钮 , 即 可 将 该 文件 删除 。 

@@ 如 果 想 要 查看 远程 被 控 主机 中 的 进程 ,在 “ 任 我 行 " 主 窗口 中 切换 到 “远程 进程 查看 ” 
选项 卡 ,可 以 看 到 远程 计算 机 正在 运行 的 进程 ,如 图 5-49 所 示 。 首 次 切换 到 该 选项 卡 时 , 窗 
口中 的 显示 是 空白 的 ,只 需 在 窗口 中 的 任意 空白 处 右 击 ,然后 在 弹出 的 快捷 菜单 中 选择 “ 刷 
新 进程 ”命令 , 即 可 看 到 被 控 主 机 中 的 进程 。 此 时 ,黑客 可 以 设置 被 控 主 机 各 进程 的 优先 级 ， 
还 可 以 结束 进程 。 


5-49 “远程 进程 查看 ”选项 卡 


@@ 切换 到 “远程 语音 视频 ”选项 卡 , 在 “远程 视频 ”区 域 单 击 “ 搜 索 ” 按 钮 后 选择 视频 设 
备 , 然 后 单 击 “ 开 启 视 频 ” 按 钮 ,可 看 到 远程 计算 机 摄像 头 抓 取 的 视频 。 如 果 远 程 计算 机 上 没 
有 视频 设备 , 则 无 法 看 到 对 方 ,如 图 5-50 所 示 。 


图 5-50 “远程 语音 视频 ”选项 卡 


加 如 果 黑 客 要 向 被 控 计算 机 发 送信 息 , 可 以 在 右 侧 的 “发 送信 息 ” 组 合 框 中 输入 窗口 标 
题 和 消息 内 容 等 信息 ,还 可 以 设置 图 标 类 型 和 按钮 类 型 。 设 置 完成 后 单 击 * 预 览 "按钮 ,可 以 
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查看 显示 效果 ; 单 击 “ 发 送 " 按 钮 ,可 将 消息 发 送 给 被 控 计 算 机 。 
图 切换 到 “远程 命令 控制 ”选项 卡 ,可 以 对 远程 计算 机 进行 桌面 图 标 控制 . 开 / 关 机 、 死 
机 黑屏 以 及 改变 声音 等 操作 ,如 图 5-51 所 示 。 
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5-51 “远程 命令 控制 ?选项 卡 


哆 切换 到 “远程 系 统 信息 ?选项 卡 , 这 里 有 ”远程 系统 配置 信息 ”“ 远 程 剪 贴 板 信息 ”“ 远 
程 运 行 窗 体 信息 ”3 个 窗口 ,用 户 只 要 单 击 窗 格 下 方 的 “查看 ”按钮 , 即 可 查看 到 该 项 信息 。 

加 如 果 黑 客 想 要 查看 远程 系统 的 配置 信息 , 需 单 击 “远程 系统 配置 信息 ”组合 框 中 的 
“查看 ”按钮 ,如 图 5-52 所 示 。 
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图 5-52 “远程 系统 配置 信息 ”组 合 框 
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四 如 果 黑 客 想 要 查看 远程 剪贴 板 中 的 信息 , 单 击 “ 远 程 剪贴 板 信息 ?组合 框 中 的 “查看 ” 
按钮 即 可 ,如 图 5-53 所 示 。 
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5-53 “远程 剪贴 板 信息 ”组 合 框 


中 如 果 黑 客 想 要 查看 远程 运行 窗 体 的 信息 , 单 击 远 程 运行 窗 体 信息 ”组 合 框 中 的 “ 查 
看 ”按钮 即 可 ,如 图 5-54 所 示 。 
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加 如 果 黑 客 想 要 对 远程 注册 表 进 行 操作 , 需 切 换 到 “远程 注册 表 操 作 ” 选 项 卡 , 然 后 双 
击 左 侧 窗 格 中 的 “远程 电脑 ”选项 ,展开 被 控 计 算 机 的 注册 表 。 在 此 ,黑客 可 以 对 注册 表 进 行 
修改 ,如 图 5-55 所 示 。 


图 5-54 “远程 运行 窗 体 信息 ” 组 合 框 
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5-55 “远程 注册 表 操作 ”选项 卡 


四 如 果 黑 客 想 要 监视 被 控 主 机 的 屏幕 , 需 单 击 主 窗口 中 的 “屏幕 监视 ”按钮 ,弹出 “屏幕 
监控 - 正 向 连接 ”窗口 ,然后 单 击 窗口 中 的 “连接 ”按钮 ,可 看 到 被 控 计算 机 当前 的 界面 内 容 。 
依次 单 击 窗口 中 的 “鼠标 "和 “键盘” 按钮 , 即 可 使 用 自己 的 鼠标 和 键盘 来 控制 对 方 计算 机 的 
鼠标 与 键盘 操作 。 

四 如 果 用 户 不 想 再 监视 该 远程 计算 机 ,直接 在 “ 任 我 行 ”软件 的 工具 栏 中 单 击 “ 印 载 服 
务 端 "按钮 即 可 。 


55 常见 问题 解答 


1. 被 木马 攻击 的 原因 是 什么 ?防御 的 措施 有 哪些 ? 

答 : 被 木马 攻击 的 原因 是 开放 了 IPC$ 连接 和 使 用 了 弱 口 令 。 为 了 使 自己 的 机 器 不 成 
为 “肉鸡 ”, 应 关闭 IPC$ 连 接 , 关 闭 139、445 端口 ,并 使 用 复杂 密码 。 

2. 为 什么 远程 计算 机 已 经 正常 运行 了 服务 器 端 , 却 不 能 正常 建立 连接 ? 

答 : 很 多 善意 的 远程 控制 软件 都 需要 被 控 端 操作 者 的 确认 ,必须 设置 登录 密码 才能 正 
确 登录 ,这 也 是 为 了 保证 被 控 端 计算 机 的 安全 。 

3. 计算 机 病毒 、 恶 意 代码 、 网 络 蠕虫 和 木马 的 区 别 与 联系 是 什么 ? 

答 : 计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 ,或 者 毁坏 数据 
以 影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 代码 。 传 染 性 是 判断 一 段 程序 代码 
是 否 为 计算 机 病毒 的 依据 。 网 络 病毒 的 主要 特征 包括 传播 方式 多 样 ,传播 速度 极 快 .影响 面 
极 广 、 破 坏 性 极 强 、 难 以 控制 和 根治 、 编 写 方式 多 样 ,病毒 变种 多 、 智 能 化 , 兼 有 木马 蠕虫 和 
后 门 等 功能 。 亚 意 代码 是 指 在 不 被 察觉 的 情况 下 ,把 代码 寄宿 到 另 一 段 程序 中 ,进而 通过 运 
行 有 入 侵 性 或 破坏 性 的 程序 ,达到 破坏 被 感染 计算 机 和 网 络 系统 的 目的 。 恶 意 代码 包括 普 
通病 毒 .蠕虫 .木马 等 。 网 络 蠕虫 是 一 个 自我 包含 的 程序 , 它 能 够 传播 自身 的 功能 或 复制 自 
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身 的 片段 到 其 他 与 网 络 连 通 的 计算 机 系统 。 网 络 蠕虫 由 多 个 部 分 组 成 ,每 个 部 分 运行 在 不 
同 计算 机 上 ,并 使 用 网 络 进 行 通信 。 与 计算 机 病毒 不 同 , 蠕 虫 不 需要 把 自身 附加 在 宿主 程序 
上 ,而 是 一 个 独立 的 程序 ,能 够 主动 运行 。 木 马 与 病毒 的 不 同 之 处 在 于 ,木马 是 没有 自我 复 
制 功能 的 恶意 程序 。 


56 过 关 练 习 


一 、 选 择 题 

1. 计算 机 感染 特洛伊 木马 后 的 典型 现象 是 ( Ws 
A. 程序 异常 退出 B. 有 未 知 程序 试图 建立 网 络 连接 
C. 邮箱 被 垃圾 邮件 填 满 D. Windows 系统 黑屏 

2. 下 列 行为 不 属于 网 络 攻击 的 是 ( 二 
A. 连续 不 断 ping 某 台 主机 B. 发 送 带 病毒 和 木马 的 电子 邮件 


C. 向 多 个 邮箱 群发 送 一 封 电子 邮件 D. 暴力 破解 服务 器 密码 
3. 在 下 面 4 种 病毒 中 ,( ) 可 以 远程 控制 网 络 中 的 计算 机 。 


A. worm. Sasser.f B. Win32.CIH 
C. Trojan. qq3344 D. Macro. Melissa 
二 、 实 操 题 


在 自己 和 朋友 的 计算 机 上 使 用 软件 试 着 进行 远程 控制 。 
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61 用 户 需求 与 分 析 


拒绝 服务 攻击 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 合法 用 户 无 法 及 时 
得 到 服务 响应 。 攻 击 者 进行 拒绝 服务 攻击 ,实际 上 是 让 服务 器 实现 两 种 效果 ,一 种 是 迫使 服 
务 区 的 缓冲 区 满 ,不 能 接收 新 的 请 求 ; 另 一 种 是 使 用 IP 欺骗 ,迫使 服务 器 把 合法 用 户 的 连 
接 复位 ,影响 合法 用 户 的 连接 。 


62 预备 知识 


6.2.1 拒绝 服务 攻击 的 定义 


拒绝 服务 攻击 简称 DoS ,是 英文 Denial of Service 的 缩写 。 拒 绝 服务 攻击 的 方式 有 很 
多 ,最 基本 的 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 合法 用 户 无 法 得 到 服务 
的 响应 。 拒 绝 服 务 攻击 的 目的 是 为 了 让 目标 主机 停止 提供 服务 或 资源 访问 ,这 些 资 源 包括 
磁盘 空间 ,内 存 .进程 甚至 网 络 带宽 ,从 而 阻止 正常 用 户 的 访问 。 

拒绝 服务 攻击 的 方式 有 多 种 ,根据 攻击 的 手法 和 目的 的 不 同 , 可 以 分 为 两 种 。 一 种 拒绝 
服务 攻击 以 消耗 目标 主机 的 可 用 资源 为 目的 ,使 目标 主机 疲 于 应 付 大 量 无 用 的 连接 请 求 , 占 
用 了 所 有 的 资源 ,无 法 对 正常 的 请 求 作出 及 时 响应 ,从 而 导致 服务 中 断 。 这 种 攻击 主要 利用 
网 络 协议 或 系统 漏洞 进行 攻击 ,主要 的 攻击 方式 有 死亡 之 ping、SYN Flood、UDP Flood、 
ICMP Flood、Land 等 。 另 一 种 拒绝 服务 攻击 以 消耗 目标 主机 的 有 效 带 宽 为 目的 ,攻击 者 通 
过 发 送 大 量 数据 包 , 将 整 条 链 路 的 带宽 全 部 占用 ,从 而 使 合法 用 户 请 求 无 法 通过 链 路 到 达 目 
标 主机 。 例 如 ,蠕虫 对 网 络 的 影响 。 具 体 的 攻击 方式 有 发 送 垃 圾 邮件 ,向 FTP 服务 器 塞 垃 
圾 文件 , 塞 满目 标 主机 的 硬盘 ,伪装 账号 错误 登录 ,导致 账号 连续 多 次 登录 失败 而 被 锁定 , 那 
么 正常 的 合法 用 户 也 不 能 用 这 个 账号 登录 系统 了 。 


6.2.2 常见 拒绝 服务 攻击 行为 及 防御 方法 


下 面 针 对 几 种 典型 的 拒绝 服务 攻击 行为 进行 分 析 , 并 提出 相应 的 对 策 。 


1. 死亡 之 ping(Ping of Death) 攻 击 

早期 ,路 由 器 对 数据 包 的 大 小 有 限制 ,很 多 操作 系统 的 TCP/IP 规定 ICMP 包 的 大 小 限 
制 在 64KB 以 内 。 遇 到 超过 64KB 的 ICMP 包 , 会 出 现 内 存 分 配 错误 ,使 接收 方 计 算 机 死 
机 。 根 据 这 一 原理 ,黑客 们 只 需要 不 断 地 通过 ping 命令 向 攻击 目标 发 送 超过 64KB 的 数据 
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包 , 就 可 以 使 接收 方 计算 机 死机 。 

防御 的 方法 是 使 用 补丁 程序 ,在 接收 数据 包 之 前 先 判断 数据 包 的 大 小 是 否 大 于 64KB， 
超过 则 丢弃 该 数据 包 。 现 在 所 有 的 TCP/IP 协议 都 具有 对 付 超过 64KB 数据 包 的 处 理 能 
力 , 并 且 大 多 数 防火 墙 能 自动 过 滤 这 些 攻击 。 很 多 操作 系统 ,如 Windows XP/Server 2003、 
Linux 等 都 具有 抵抗 一 般 死亡 之 ping 的 能 力 。 


2. 泪 滴 (Teardrop) 攻 击 

对 于 一 些 大 的 数据 包 , 为 了 符合 链 路 层 最 大 传输 单元 (MTU) 的 要 求 ,往往 需要 拆 分 传 
送 。 这 样 ,接收 端 在 接收 完全 部 IP 数据 包 后 ,可 以 根据 * 偏 移 字 段 " 得 知 某 个 片段 在 整个 IP 
包 中 的 位 置 , 从 而 将 这 些 片 段 重新 组 装 。 如 果 黑 客 在 截取 IP 数据 包 后 ,把 “ 偏 移 字 段 " 设 置 
成 错误 的 值 ,导致 接收 端 不 能 正确 组 合 这 些 拆 分 的 数据 包 , 但 接收 端 会 不 断 尝 试 , 就 导致 目 
标 主 机 因 资 源 耗 尽 而 崩溃 。 

防御 方法 是 对 接收 到 的 分 片 数 据 包 进 行 分 析 , 计 算数 据 包 的 片 偏 移 量 是 否 有 误 。 反 攻 
击 的 方法 是 添加 系统 补丁 程序 ,丢弃 收 到 的 病态 分 片 数据 包 , 尽 可 能 采用 最 新 的 操作 系统 ， 
或 在 防火 墙 上 设置 分 段 重 组 功能 ,由 防火 墙 接收 同一 原 包 中 的 所 有 拆 分 数据 ,然后 完成 重组 
工作 。 


3. TCP SYN 洪水 (TCP SYN Flood) 攻 击 

攻击 者 利用 伪造 的 IP 地 址 向 目标 主机 发 出 多 个 连接 (SYN) 请 求 ,目标 主机 在 接收 到 请 
求 后 发 送 确认 信息 ,并 等 待 回答 。 由 于 IP 地 址 是 伪造 的 ,所 以 确认 信息 也 不 会 到 达 任 何 计 
算 机 ,当然 不 会 有 任何 计算 机 为 此 确认 信息 作出 应 答 。 而 在 没有 收 到 应 答 之 前 ,目标 计算 机 
会 在 缓冲 区 保持 连接 信息 并 一 直 等 待 。 当 等 待 连接 达到 一 定数 量 , 缓 冲 区 资源 耗 尽 后 ,开始 
拒绝 所 有 其 他 连接 请 求 ,当然 也 包括 本 来 属于 正常 应 用 的 请 求 。 

防御 方法 是 检查 单位 时 间 内 收 到 的 SYN 连接 是 否 超出 系统 设 定 的 值 。 当 接收 到 大 量 
SYN 数据 包 时 ,通知 防火 墙 阻 断 连接 请 求 或 丢弃 数据 包 , 并 在 防火 墙 上 过 滤 来 自 同一 主机 
的 后 续 连 接 。 由 于 此 类 攻击 不 寻求 响应 ,所 以 无 法 将 其 从 一 个 简单 的 高 容量 传输 中 鉴别 
出 来 。 


4. Land 攻击 

Land 攻击 中 的 数据 包 源 地 址 和 目标 地 址 是 相同 的 。 当 操作 系统 收 到 这 类 数据 包 时 ,不 
知 该 如 何 处 理 , 循 环 发 送 和 接收 该 数据 包 会 消耗 大 量 的 系统 资源 ,有 可 能 造成 系统 崩溃 或 者 
死机 。 

防御 的 方法 是 直接 通过 判断 网 络 数据 包 的 源 地 址 和 目标 地 址 是 否 相同 来 确认 是 否 属于 
攻击 行为 。 反 攻击 的 方法 是 配置 防火 墙 设备 或 制定 包 过 滤 路 由 器 的 包 过 滤 规 则 。 


5. 分 片 IP 报 文 攻击 

攻击 者 给 目标 主机 只 发 送 一 片 分 片 报 文 ,而 不 发 送 所 有 的 分 片 报 文 ,目标 主机 便 会 一 直 
等 待 ; 如 果 攻 击 者 发 送 了 大 量 分 片 报 文 ,会 消耗 掉 目 标 主机 的 资源 ,导致 不 能 接收 正常 的 IP 
报 文 。 

对 于 这 种 攻击 方式 ,目前 还 没有 十 分 有 效 的 防御 方法 。 对 于 一 些 包 过 滤 设 备 或 人 侵 检 
测 系统 来 说 ,通常 是 通过 判断 第 一 个 分 片 的 目标 端口 号 来 决定 后 续 分 片 是 否 人 允许 通过 ,但 一 
些 恶 意 分 片 的 目标 端口 号 位 于 第 二 个 分 片 中 ,会 躲 过 一 些 和 人 侵 检测 系统 及 安全 过 滤 系 统 , 从 
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而 在 目标 主机 上 重组 之 后 形成 各 种 攻击 。 目 前 有 一 些 智 能 的 包 过 滤 设 备 可 以 直接 丢掉 报头 
中 不 包含 端口 信息 的 分 片 ,但 这 种 设备 价格 较 高 ,不 是 每 个 企业 都 能 承受 得 起 的 。 


6. Smurf 攻击 

利用 多 数 路 由 器 具有 同时 向 许多 计算 机 广播 请 求 的 功能 ,攻击 者 伪造 一 个 合法 的 IP 地 
址 ,然后 由 网 络 上 所 有 的 路 由 器 广播 要 求 向 受 攻击 计算 机 地 址 作出 回答 的 请 求 。 由 于 这 些 
数据 包 看 上 去 是 来 自己 知 地 址 的 合法 请 求 ,使 得 网 络 中 所 有 主机 都 对 此 ICMP 应 答 请 求 作 
出 答复 ,导致 网 络 阻塞 。 这 种 攻击 比 * 死 亡 之 ping” 和 “SYN 洪水 ”流量 高 出 1 一 2 个 数量 级 ， 
更 容易 攻击 成 功 。 还 有 些 Smurf 攻击 将 源 地 址 改 成 第 三 方 受害 者 的 IP 地 址 ,而 不 是 伪造 的 
IP 地 址 ,最 终 导 致 第 三 方 受害 者 计算 机 系统 崩溃 。 

防御 的 方法 是 关闭 外 部 路 由 器 或 防火 墙 的 广播 地 址 特性 ,并 在 防火 墙 上 设置 规则 ,丢弃 
ICMP 协议 类 型 的 数据 包 。 


7. 虚拟 终端 (VTY) 耗 尽 攻 击 

交换 机 和 路 由 器 等 网 络 设备 为 了 便于 远程 管理 ,一 般 都 设置 了 Telnet 用 户 界面 , 即 用 
户 可 以 通过 Telnet 远程 登录 到 该 设备 上 ,对 这 些 设备 进行 管理 。 通 常 ,这 些 设备 的 Telnet 
用 户 界 面 个 数 是 有 限制 的 ,比如 5 个 或 10 个 。 然 而 ,攻击 者 同时 跟 一 个 网 络 设备 建立 5 个 
或 10 个 Telnet 连接 ,会 导致 这 些 设备 的 远程 管理 界面 被 占 尽 , 当 合 法 用 户 再 对 这 些 设备 进 
行 远 程 管 理 时 ,会 因为 Telnet 连接 资源 被 占用 而 失败 。 

防御 的 方法 是 升级 交换 机 和 路 由 器 等 网 络 设备 的 COS 或 IOS 系统 ,新 版 本 的 系统 已 经 
对 该 问题 进行 了 改进 。 

8. 电子 邮件 炸弹 

攻击 者 在 很 短 的 时 间 内 连续 不 断 地 向 同一 地 址 发 送 大 量 电 子 邮 件 , 耗 尽 邮 件 接收 者 的 
网 络 带 宽 资 源 ,导致 网 络 拥塞 ,使 大 量 合法 用 户 不 能 正常 工作 ; 同时 占用 邮件 接收 者 有 限 的 
邮箱 容量 ,用 户 的 邮箱 将 没有 多 余 的 空间 接纳 新 邮件 ,新 邮件 将 会 丢失 或 退回 ,造成 邮箱 失 
效 ; 而 邮件 炸弹 携带 的 大 容量 信息 不 断 在 网 络 中 来 回 传 输 , 堵 塞 传 输 信道 ,加 重 邮件 服务 器 
的 工作 强度 ,减缓 处 理 其 他 用 户 电 子 邮 件 的 速度 ,导致 恶性 循环 。 

防御 的 方法 是 对 邮件 进行 过 滤 ,自动 删除 来 自 同一 主机 的 过 量 或 重复 的 消息 ; 或 在 接 
收 任何 电子 邮件 之 前 预先 检查 发 件 人 的 资料 ,有 可 疑 之 处 便 将 其 删除 ; 同时 ,将 邮件 服务 器 
设置 为 自动 删除 超过 信箱 容量 的 大 邮件 ,以 有 效 避 免 “ 中 弹 ”。 


6.2.3 分 布 式 拒绝 服务 攻击 的 定义 


分 布 式 拒 绝 服务 攻击 (Distributed Denial of Service, DDoS) 又 称 为 洪水 攻击 。 它 是 一 
种 分 布 ,协作 的 大 规模 攻击 方式 ,攻击 者 利用 多 台 计 算 机 攻击 比较 大 的 商业 站 点 ,搜索 引擎 、 
政府 部 门 站 点 等 。DDoS 是 在 传统 的 DoS 的 基础 上 发 展 起 来 的 一 类 攻击 方式 。 单 一 的 拒绝 
服务 攻击 一 般 采 用 一 对 一 的 方式 , 当 攻 击 目标 的 CPU 速度 ,内存 或 网 络 带宽 等 各 项 性 能 指 
标 不 高 时 ,这 种 攻击 的 效果 较 明 显 。 随 着 计算 机 与 网 络 技术 的 发 展 , 计 算 机 的 处 理 能 力 迅速 
增强 ,内 存 大 大 增加 ,网 络 带 宽 也 越 来 越 大 .对 于 恶意 攻击 包 的 “消化 能 力 ” 增 强 了 不 少 , 使 得 
DoS 攻击 的 困难 程度 增加 了 。 这 时 ,分 布 式 拒 绝 服务 攻击 应 运 而 生 。 当 计算 机 和 网 络 的 处 
理 能 力 增强 时 ,用 一 台 计 算 机 攻击 不 再 有 效 , 那 么 攻击 者 采用 分 布 式 .协同 式 的 大 规模 攻击 
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方式 ,利用 多 台 计 算 机 来 发 起 攻击 ,以 比 以 前 更 大 的 规模 来 进攻 目标 主机 。 


63 方案 设计 


方案 设计 如 表 6-1 所 示 。 


任务 名 称 


表 6-1 方案 设计 
拒绝 服务 攻击 


任务 分 解 


. 拒绝 服务 攻击 工具 SYN Flood 的 使 用 
. 分 布 式 拒绝 服务 攻击 工具 DDoS 攻击 者 的 使 用 


能 力 目标 


. 能 对 拒绝 服务 攻击 工具 SYN Flood 的 攻击 属性 进行 设置 

.能 使 用 拒绝 服务 攻击 工具 SYN Flood 对 目标 主机 发 动 拒绝 服务 攻击 

. 能 使 用 网 络 监听 工具 查看 攻击 效果 

. 能 对 分 布 式 拒绝 服务 攻击 工具 DDoS 攻击 者 的 攻击 属性 进行 设置 

. 能 使 用 分 布 式 拒绝 服务 攻击 工具 DDoS 攻击 者 对 目标 主机 发 动 拒绝 服务 攻击 


知识 目标 


. 了 解 拒绝 服务 攻击 的 原理 
.了解 常见 拒绝 服务 攻击 的 行为 及 防御 方法 


素质 目标 


. 培养 良好 的 职业 道德 
. 树立 较 强 的 安全 意识 
掌握 网 络 安全 行业 的 基本 情况 


1 
2 
1 
2 
3 
4 
1. 熟悉 拒绝 服务 攻击 的 定义 
2 
3 
1 
2 
3. 
4. 树立 较 强 的 安全 、 节 约 、 环 保 意识 


64 任务 实施 


6.4.1 任务 1: 拒绝 服务 攻击 工具 SYN Flood 的 使 用 


1. 任务 目标 
使 用 SYN Flood 伪造 源 IP 地 址 \ 源 端口 号 ,对 目标 主机 发 动 攻击 。 攻 击 类 型 包括 
SYN、PSH&.ACK.、3HD、Rage3HD、ICMP.\ 碎 片 SYN、WebTest。 


2, 工作 任务 
拒绝 服务 攻击 工具 SYN Flood 的 攻击 。 


3. 工作 环境 
(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 
(2) 软件 工具 : 拒绝 服务 工具 SYN Flood。 


4. 实施 过 程 

(1) 双击 SYN Flood 运行 程序 ,弹出 主 程序 窗口 。 单 击 “ 新 建 攻击 ”按钮 ,弹出 “攻击 属 
性 设置 "对话 框 ,如 图 6-1 所 示 。 

(2) 在 “攻击 属性 设置 ?对 话 框 中 填 人 攻击 目标 的 IP 地 址 ,然后 选择 攻击 类 型 比如 
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攻击 属性 设置 | 
三 攻击 目标 
牙 击 目标 [192.163.31.111 攻击 类 型 [sw | EE 
目标 端口 Eo 厂 转 移 。 速度 | | 
攻击 贱 程 |1000 最 大 连接 数 | oo0 
伪造 信息 
伪造 原 地 址 伪造 原 端口 
192.168.0.1 - 192.168.0.100 10000 - 10010 


Mis ,te.o .1 添加 | 人 ho 
到 [192 .168 . 0 .100 中 | oni ey 


图 6-1 “攻击 属性 设置 "对 话 框 


“SYN”, 再 设置 目标 端口 ,攻击 线 程 和 最 大 连接 数 ,添加 伪造 原 地 址 和 伪造 原 端 口 范围 ,并 
单 击 “ 确 定 ” 按 钮 。 
(3) 被 攻击 的 目标 主机 通过 Sniffer Pro 查看 到 网 络 连 接 情况 ,发 现 有 100 台 主 机 与 目 
标 主机 相连 ,如 图 6-2 所 示 。 
[elled| 


传输 地 图 为 了 192.168.31.111 


加 
本 
加 | 
各 
3 
疙 | 
到 
_ 吓 
了 了 | 
XX 
了 双 
力 | 


图 6-2 目标 主机 的 网 络 连 接 示意 图 


(4) 还 可 以 查看 到 整个 网 络 中 计算 机 所 用 带宽 前 10 名 的 情况 ,如 图 6-3 所 示 ,都 是 由 伪 
装 IP 地 址 发 送 的 数据 包 。 

(5) 通过 任务 管理 器 观察 系统 性 能 的 变化 ,CPU 利用 率 从 10% 上 升 到 100%, 可 以 看 到 
SYN Flood 攻击 的 危害 性 ,如 图 6-4 所 示 。 

(6) 这 是 一 对 一 攻击 的 结果 。 如 果 是 多 对 一 攻击 ,会 导致 被 攻击 主机 蓝屏 。 在 攻击 端 
主 窗口 单 击 “ 新 建 攻击 ”按钮 ,可 以 添加 攻击 线程 ,增强 攻击 效果 。 

(7) 在 攻击 端 主 窗口 单 击 “ 退 出 ”按钮 结束 攻击 。 
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顶部 10 传 输 192.168.31.111 按 数据 包 图 192168082 图 19216803 


阮 132168032 图 192168098 


日 192168033 国 192168044 


加 1392168072 国 19216807 


加 192168097 图 192168021 


图 6-3 网 络 中 带宽 显示 柱状 图 


旦 Windows 任务 管理 器 二 | 口 | x| 
文件 EE) 选项 (0) 查看 V) 帮助 内 
应 用 程序 | 进程 [叙事 联网 | 用 户 | 
CPV 使 用 CPV 合用 记录 
了 使 用 页 面 文件 使 用 记录 
总 数 物理 内 存 0 
句柄 数 21042 | | 总 数 S23724 
起 程 数 502 可 用 数 217056 
进程 数 40 | | 系统 缓存 110496 
内 存 使 用 IK) 核心 内 存 0 
总 数 333132 | | 总 | 34740 
限制 1284128 | 分 页 数 19728 
峰值 347820 | | 未 分 页 15012 
进程 数 : 40 ”|cPU 使 用 : 74% ”| 内 存 使 用 : 325M / 1254M 


图 6-4 SYN 攻击 后 的 系统 性 能 变化 


6.4.2 任务 2: 分 布 式 拒绝 服务 攻击 工具 DDoS 攻击 者 的 使 用 

1. 任务 目标 

本 软件 是 一 个 DDoS 攻击 工具 。 程 序 运行 后 自动 驻 入 系统 ,并 在 以 后 随 系统 启动 ,在 上 
网 时 自动 对 事先 设 定 好 的 目标 进行 攻击 。 可 以 自由 设置 “并 发 连接 线程 数 "“ 最 大 TCP 连 
接 数 "等 参数 。 由 于 采用 了 与 其 他 同类 软件 不 同 的 攻击 方法 ,效果 更 好 。 

2,. 工作 任务 

分 布 式 拒绝 服务 攻击 工具 DDoS 攻击 测试 。 
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3. 工作 环境 


(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 


(2) 软件 工具 : DDoS 攻击 测试 工具 。 


4. 实施 过 程 


(1) 运行 DDoS 攻击 生成 器 (DDoSMaker. exe) ,弹出 “DDoS 攻击 者 生成 器 ?对 话 框 ,如 


图 6-5 所 示 。 


(2) 进行 必要 的 设置 : 在 “目标 主机 的 域名 或 IP 地 址 ”文本 框 中 填 入 要 攻击 主机 的 域名 
或 IP 地 址 ; 在 “端口 ”文本 框 中 填 入 要 攻击 的 端口 ,这 里 需要 填 TCP 端口 ,因为 该 工具 只 能 
攻击 基于 TCP 的 服务 , 填 人 “80? 攻 击 HTTP 服务 , 填 人 “21? 攻 击 FTP 服务 , 填 入 “25” 攻 击 
SMTP 服务 , 填 入 “110” 攻 击 POP3 服务 ;“ 并 发 连接 线程 数 ” 是 指 同时 有 多 少 个 线程 去 连接 
指定 的 端口 ,此 值 越 大 ,对 目标 主机 的 攻击 越 强 ,但 占用 本 机 资源 越 大 ,默认 值 是 10 个 线程 ; 
“最 大 TCP 连接 数 ” 的 默认 值 是 1000 个 连接 ; 最 后 ,在 “DDoS 攻击 者 程序 保存 为 ”文本 框 内 
指定 生成 的 DDoS 攻击 者 程序 保存 的 位 置 和 名 称 。 

(3) 双击 生成 的 DDoS 攻击 者 程序 ,开始 对 目标 主机 发 起 攻击 。 

(4) 通过 目标 主机 的 任务 管理 器 观察 系统 性 能 的 变化 ,从 CPU 利用 率 变 化 可 以 看 到 


DDoS 攻击 的 危害 性 ,如 图 6-6 所 示 。 


的 DDoS 攻击 者 生成 器 V1 汗 x| 
攻击 设置 
目标 主机 的 城 名 吏 TP 地 址 区 ): 端口 中 ): 
和 sz 168 31 3 : 


并 发 连接 旺 程 数 代 ): |10 个 线程 

最 大 TC 连接 数 电 ): |1000 个 连接 电 
一 自动 设 置 - | 
注册 表 启 动 项 嫌 名 BO) Kerneliz 
服务 端 程序 文件 名 EE): |Kernel32 exe 

三 文件 输出 


JDos 攻 击 者 程序 保存 为 (3); 
[Ei Vocwments and Settines\Adnini strator MN 


ao | 


图 6-5 “DDoS 攻击 者 生成 器 ?对 话 框 


号 Windows 任务 管理 器 = 上 |x| 
文件 全) 选项 (0) 查看 (Vv) 帮助 由 
应 用 程序 | 进程 “[ 硅 散 中 联网 | 用户 | 
FCPV 使 用 CPV 便 用 记录 
好 俩 用 一 一 页面 文件 全 用 记录 一 一 一 一 一 一 一 
名 - 物理 内 存 四 
句柄 数 24283 | 总 数 S23724 
线程 数 514 “可 用 数 40808 
进程 数 41 | 系统 给 13388 
-内 存 使 用 0 厂 核心 内 存 0 
总 数 713944 | 总 数 50866 
限制 1284128 | 分 页 数 19238 
峰值 Tn] | 染 委 内 3 
进程 数 : 41 。 |cPu 使 用 ; 10% ”| 内 存 使 用 : 697M /1254M 才 


图 6-6 任务 管理 器 


65 常见 问题 解答 


1. DoS 攻击 和 DDoS 攻击 的 区 别 是 什么 ? 


答 : DoS 是 一 种 利用 单 台 计算 机 的 攻击 方式 ; DDoS 是 一 种 基于 DoS 的 特殊 形式 的 拒 
绝 服务 攻击 ,是 一 种 分 布 .协作 的 大 规模 攻击 方式 ,主要 瞄准 比较 大 的 站 点 ,如 商业 公司 、 搜 
索引 擎 和 政府 部 门 的 站 点 。DDoS 攻击 是 利用 一 批 受 控制 的 计算 机 向 一 台 计 算 机 发 起 攻 
击 ,这 样 来 势 凶猛 的 攻击 让 人 难以 防备 ,因此 具有 更 大 的 破坏 性 。 
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2. 防御 DDoS 攻击 的 方法 有 哪些 ? DDoS 攻击 是 不 是 可 以 100% 防 御 的 ? 

答 : 防御 DDoS 攻击 是 一 个 系统 工程 ,仅仅 依靠 某 种 系统 或 产品 来 防御 是 不 现实 的 ， 
100% 完 全 杜绝 DDoS 攻击 在 目前 是 不 可 能 的 ,但 通过 适当 的 措施 抵御 90% 的 DDoS 攻击 还 
是 可 以 做 到 的 。 防 御 DDoS 攻击 的 方法 有 : 定期 扫描 ,在 骨干 节点 配置 防火 墙 ,用 足够 的 计 
算 机 承受 黑客 攻击 ,充分 利用 网 络 设备 保护 网 络 资源 ,以 及 过 滤 不 必要 的 服务 和 端口 。 基 于 
攻击 和 防御 的 成 本 开销 考虑 ,如 果 通 过 适当 的 措施 增强 了 抵御 DDoS 的 能 力 ,意味 着 增 大 了 
攻击 者 的 攻击 成 本 ,那么 绝 大 多 数 攻击 者 都 将 因 无 法 继续 下 去 而 放弃 ,相当 于 成 功 地 抵御 了 
DDoS 攻击 。 


66 过 关 练 习 


一 、 选 择 题 
1. 拒绝 服务 攻击 ( 站 
A. 用 超出 被 攻击 目标 处 理 能 力 的 海量 数据 包 消 耗 可 用 系统 .带宽 资源 等 
B. 全 称 是 Distributed Denial of Service 
C. 拒绝 来 自 一 台 服 务 器 发 送 回应 请 求 的 指令 
D. 入侵 控制 一 台 服务 器 后 远程 关机 
2.“TCP SYN Flood” 建 立 大 量 处 于 半 连 接 状 态 的 TCP 连接 ,其 攻击 目标 是 网 络 


的 ( 
A. 保密 性 B. 完整 性 C. 真实 性 D. 可 用 性 
3， 当 感觉 到 操作 系统 运行 速度 明显 减 慢 , 打 开 “ 任 务 管理 器 ”后 发 现 CPU 的 使 用 率 达 
到 100% 时 ,最 有 可 能 受到 ( ) 攻 击 。 
A. 特洛伊 木马 B. 拒绝 服务 C. ARP D. 网 络 监 听 
4. 在 网 络 攻击 活动 中 ,Tribal Flood Network(TFN) 是 ( ) 类 的 攻击 程序 。 
A. 拒绝 服务 B. 字典 攻击 C. 网 络 监听 D. 病毒 程序 
Si( ) 无 法 有 效 防御 DDoS 攻击 。 


A. 根据 IP 地 址 对 数据 包 进 行 过 滤 
B. 为 系统 访问 提供 更 高 级 别 的 身份 认证 
C. 安装 防 病毒 软件 
D. 使 用 工具 软件 检查 不 正常 的 高 流量 
6. DDoS 攻击 破坏 了 网 络 的 ( ) 。 
A. 可 用 性 B. 保密 性 C. 完整 性 D. 真实 性 
7. 驻 留 在 多 个 网 络 设备 上 的 程序 在 短 时 间 内 同时 产生 大 量 的 请 求 消息 冲击 某 Web 服 
务 器 ,导致 该 服务 器 不 堪 重 负 ,无 法 正常 响应 其 他 合法 用 户 的 请 求 , 这 属于 ( ys 
A. 上 网 冲浪 B. 中 间 人 攻击 C. DDoS 攻击 D. MAC 攻击 
二 、 操作 题 
对 本 地 计算 机 进行 SYN 攻击 压力 测试 。 


企业 网 中 常见 防护 技术 分 析 


本 学 习 情 境 主要 介绍 防护 技术 , 即 操作 系统 日 常 维护 中 最 重要 的 内 容 , 包 括 系 统 账 户 的 
管理 注册 表 的 管理 与 维护 、 系 统 进程 和 服务 的 管理 、Internet 信息 服务 的 安全 管理 等 。 以 
5 个 工作 任务 为 案例 ,除了 介绍 系统 内 置 的 管理 工具 外 ,还 介绍 实际 工作 中 常用 的 加 密 工 具 
PGP 的 使 用 方法 ,来 进一步 加 强 操 作 系统 的 安全 管理 。 

学 生 通 过 本 单元 所 有 任务 的 实践 ,可 以 学 会 如 何 对 企业 网 操作 系统 进行 安全 部 署 ,解决 
系统 平台 配置 中 遇 到 的 网 络 安全 问题 ,学 习 账户 管理 ,注册 表 管 理 ,. 进程 和 服务 管理 所 需要 
的 相关 网 络 安全 知识 ,能 排除 网 络 中 可 能 出 现 的 问题 ,为 将 来 工作 积累 实践 经 验 。 


本 学 习 情 境 需要 完成 的 工作 任务 如 下 : 

工作 任务 七 ”系统 的 账户 管理 

工作 任务 八 注册 表 的 管理 

工作 任务 九 组 策略 的 设置 

工作 任务 十 数据 加 密 技术 的 使 用 

工作 任务 十 一 ”Internet 信息 服务 的 安全 设置 


[工作 任务 七 
一 ”系统 的 账户 管理 


71 用 户 需 求 与 分 析 


黑客 在 不 知道 系统 管理 员 密 码 的 情况 下 ,可 以 通过 多 种 手段 破解 系统 管理 员 账 户 的 密 
码 , 如 果 没有 采取 必要 的 防范 措施 ,会 严重 影响 用 户 计算 机 中 的 数据 信息 的 安全 。 用 户 需要 
通过 使 用 账户 审计 工具 ,了 解 系统 账户 的 安全 性 ,掌握 安全 口令 的 设置 原则 ,保护 系统 账户 
密码 的 安全 ,掌握 系统 账户 的 管理 方法 。 


72 预备 知识 


7.2.1 Windows Server 2003 的 安全 标识 符 


1， Windows Server 2003 的 安全 特性 

(1) IIS 6.0 的 安全 性 : 加 密 服 务 .摘要 认证 .过 程 访问 控制 等 ; 

(2) Internet 连接 防火 墙 (ICF) : 软件 防火 墙 ,提供 端口 安全 ; 

(3) 软件 限制 策略 : 限制 系统 运行 未 授权 的 可 执行 程序 ; 

(4) 新 的 摘要 安全 包 : 支持 摘要 认证 协议 ; 

(5) 改善 了 以 太 局 域 网 和 无 线 局 域 网 的 安全 性 : 促进 安全 认证 和 授权 ; 

(6) 凭证 管理 器 : 提供 了 一 个 口令 密码 和 X. 509 证 书 的 仓库 ; 

(7) 内 核 模 式 加 密 算法 : 支持 SHA-1、DES、3DES 和 随机 数 发 生 器 ; 

(8) 改进 的 SSL 客户 端 认证 : 使 会 话 速度 提高 35%; 

(9) 增强 的 EFS 加 密 文 件 系 统 : 提供 给 多 个 用 户 访 问 多 组 加 密 文件 的 可 能 。 


2. Windows Server 2003 的 安全 模型 

Windows Server 2003 主要 包含 6 个 主要 的 安全 元 素 : 审计 管理, 加密、 访问 控制 .用 
户 验 证 和 安全 策略 。 安 全 模型 的 主要 功能 是 用 户 身 份 验 证 和 访问 控制 。 

Windows Server 2003 身份 验证 启用 对 所 有 网 络 资源 的 单一 登录 。 单 一 登录 允许 用 户 
使 用 一 个 密码 或 智能 卡 一 次 登录 到 域 , 然 后 向 域 中 任何 计算 机 验证 身份 。 身 份 验证 有 交互 
式 登录 和 网 络 身份 验证 两 种 类 型 。 交 互 式 登录 向 域 账户 或 本 地 计算 机 确认 用 户 身份 , 域 账 
户 存储 在 Active Directory 目录 服务 中 ,本 地 计算 机 账户 存储 在 安全 账户 管理 器 (SAM) 中 。 
网 络 身份 验证 支持 包括 Kerberos V5、 安 全 套 接 字 层 /传输 层 安 全 性 (SSL/TLS) 以 及 
NTLM。 系 统 通过 用 户 身份 验证 控制 对 网 上 资源 或 对 象 的 访问 ,通过 管理 对 象 的 属性 设置 
权限 、 分 配 所 有 权 以 及 监视 用 户 访问 。 
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3. Windows Server 2003 的 安全 认证 子 系统 

本 地 安全 认证 子 系统 (LSASS) 接 收 用 户 登录 凭证 ,主要 包含 5 个 关键 组 件 : 安全 标识 
符 \ 访 问 令 牌 ,安全 描述 符 、 访 问 控制 列表 和 访问 控制 项 。 

安全 标识 符 (Security Identifiers) 即 SID, 当 创 建 一 个 用 户 或 一 个 组 的 时 候 , 系 统 会 分 
配给 该 用 户 或 组 一 个 唯一 SID。SID 由 计算 机 名 、 当 前 时 间 、 当 前 用 户 态 线程 的 CPU 耗费 
时 间 的 总 和 3 个 参数 决定 ,以 保证 它 的 唯一 性 。SID 号 用 空格 分 隔 , 或 用 *- 分隔, 例如 
S-1-5-21-1763234323-3212657521-1234321321-500。 

用 户 通过 验证 后 ,登录 进程 会 给 用 户 一 个 访问 令 牌 。 若 改变 用 户 的 权限 ,需要 注销 后 重 
新 登录 ,重新 获取 访问 令 牌 。 当 用 户 试 图 访问 系统 资源 时 ,将 访问 令 牌 提供 给 系统 ,系统 检 
查 用 户 试图 访问 对 象 上 的 访问 控制 列表 。 若 用 户 被 允许 访问 该 对 象 , 则 系统 分 配给 用 户 适 
当 的 访问 权限 。 

Windows 中 的 任何 对 象 的 属性 都 有 安全 描述 符 这 部 分 , 它 保 存 对 象 的 安全 配置 。 

访问 控制 列表 有 任意 访问 控制 列表 和 系统 访问 控制 列表 两 种 。 任 意 访 问 控制 列表 包含 
了 用 户 和 组 的 列表 ,以 及 相应 的 权限 : 允许 或 拒绝 。 每 一 个 用 户 或 组 在 任意 访问 控制 列表 
中 都 有 特殊 的 权限 。 系 统 访问 控制 列表 为 审核 服务 ,包含 了 对 象 被 访问 的 时 间 。 

访问 控制 项 (Access Control Entries) 包 含 了 用 户 或 组 的 SID 以 及 对 象 的 权限 。 它 有 人 允 
许 访问 和 拒绝 访问 两 种 ,并 且 拒绝 访问 的 级 别 高 于 允许 访问 。 

4， Windows Server 2003 的 安全 标识 各 

Windows Server 2003 安全 认证 子 系统 中 的 一 个 重要 组 件 就 是 安全 标识 符 (SID) ,每 当 
系统 创建 一 个 用 户 或 一 个 组 的 时 候 ,系统 就 会 分 配给 该 用 户 或 组 一 个 唯一 的 SID。 一 旦 账 
号 被 删除 ,安全 标识 符 同 时 被 删除 。Windows Server 2003 对 登录 的 用 户 指派 权限 时 ,表面 
上 是 对 账户 ,实际 是 根据 SID 号 进行 。 安 全 标识 (SID) 是 唯一 的 ,即使 是 相同 的 用 户 名 ,在 
每 次 创建 时 获得 的 安全 标识 都 完全 不 同 ; 即使 用 相同 的 用 户 名 重建 账号 ,也 会 被 赋予 不 同 
的 安全 标识 ,不 会 保留 原来 的 权限 。 

-个 完整 的 SID 号 包括 SID 的 版 本 号 、SID 的 颁发 机 构 代 码 、SID 的 子 颁发 机 构 代 码 ， 
以 及 由 计算 机 名 、 当 前 时 间 、 当 前 用 户 态 线程 的 CPU 耗费 时 间 决 定 的 30 位 数字 和 相对 标识 
符 (RID) ,如 图 7-1 所 示 。 


SID 的 颁发 SID 的 子 颁 。 由 计算 机 名 、 当 前 时 间 、 当 前 用 户 态 线程 
机 构 代码 发 机 构 代 码 ”的 CPU 耗 费时 间 的 总 和 这 3 个 参数 决定 


Ss 表示 SID 
SID 的 版 本 号 一 


9522115-188: 


_ 相 对 标识 
符 (RID) 


图 7-1 SID( 安 全 标识 符 ) 结 构 
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相对 标识 符 (Relative Identifiers, RID) 标 志 域 内 的 账户 和 组 。RID 为 500 的 SID 是 系 
统 内 置 administrator 账户 ,即使 重 命 名 ,其 RID 保持 为 500 不 变 。RID 为 501 的 SID 是 
Guest 账户 ,从 1000 开始 的 RID 代表 用 户 账户 。 例 如 ,RID 为 1005 是 该 域 创建 的 第 5 个 
用 户 。 


7.2.2 Windows Server 2003 的 安全 账户 管理 器 


Windows Server 2003 中 对 用 户 账户 的 安全 管理 使 用 了 安全 账户 管理 器 (Security 
Account Manager, SAM) 的 机 制 。 安 全 账户 管理 器 对 账户 的 管理 是 通过 安全 标识 进行 的 。 
安全 账户 管理 器 的 具体 表现 就 是 %SystemRoot%\system32\config\sam 文件 。SAM 文件 
是 系统 的 用 户 账户 数据 库 , 所 有 用 户 的 登录 名 及 口令 等 相关 信息 都 会 保存 在 这 个 文 
件 中 。 

SAM 文件 的 Hash 加 密 包括 LanManager(LMD) 口 令 散 列 算法 和 NTLM 口令 散 列 算法 
两 种 方式 。LM 对 口令 的 处 理 方法 是 : 如 果 口 令 不 足 14 位 ,用 0 补足 14 位 ,并 把 所 有 的 字 
母 转 成 大 写字 母 ; 再 将 处 理 后 的 口令 分 成 两 组 数字 ,每 组 7 位 。 由 于 口令 已 经 被 分 解 为 两 
个 7 个 字符 长 度 口令 的 破解 ,并 且 不 用 测试 小 写字 母 , 因 此 破解 难度 并 不 高 。 

因此 ,微软 在 Windows NT4 的 SP3 之 后 的 补丁 中 提供 了 一 个 syskey. exe 的 小 工具 来 
进一步 加 强 NT 的 口令 。 这 个 软件 是 可 以 选择 使 用 的 ,管理 员 只 要 运行 该 程序 并 回答 一 些 
设置 问题 就 可 以 添加 这 项 增强 功能 。 


7.2.3 LO0phtCracks 程序 


LOphtCrack5( 简 称 LC5) 是 著名 的 美国 计算 机 安全 公司 组 织 开发 的 Windows 平台 口令 
审核 程序 ,提供 了 审核 Windows 账户 的 功能 ,以 提高 系统 的 安全 性 。LC5 通过 破解 SAM 
文件 来 获得 用 户 名 和 密码 。LC5 可 以 在 本 地 系统 、 远 程 系 统 、 系 统 备份 中 获得 SAM 文件 ， 
从 而 破解 出 口令 。 

LC5 的 4 种 破解 模式 包括 字典 攻击 (Dictionary Attack) 混合 攻击 (Hybrid Attack)、 预 
设 攻击 (Precomputed Attack) 和 暴力 攻击 (Brute Force Attack)。 


7.2.4 账户 安全 策略 


1, 安全 密码 的 设置 原则 

一 般 来 说 ,安全 密码 的 口令 不 应 少 于 8 个 字符 ,不 包含 完整 的 字典 词汇 ,不 包含 用 户 名 、 
真实 姓名 、 生 日 或 公司 名 称 等 ,同时 包含 大 写字 母 . 小 写字 母 .数字 特殊 符号 4 类 中 的 3 类 
字符 。 


2. 账户 策略 

(1) 密码 长 度 最 小 值 : 8 个 字符 ; 
(2) 密码 最 长 存留 期 : 42 天 ; 
(3) 密码 最 短 存 留 期 : 1 天 ; 

(4) 强制 密码 历史 : 24 个 。 
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73 方案 设计 


方案 设计 如 表 7-1 所 示 。 


任务 名 称 


表 7-1 方案 设计 
系统 的 账户 管理 


任务 分 解 


1. 安全 标识 符 的 查看 

(1) 使 用 user2sid 工具 软件 查看 某 账户 的 SID 
(2) 手动 查看 某 账户 的 SID 

(3) 使 用 sid2user 工具 软件 ,已 知 SID, 查 看 其 用 户 名 
2. SYSKEY 双重 加 密 账 户 保护 

3. 使 用 LC5 审计 账户 的 安全 性 

(1) 利用 向 导 进 行 本 地 审计 

(2) 利用 进程 进行 本 地 审计 

(3) 利用 进程 进行 远程 审计 

(4) 利用 SAM 文件 进行 审计 

4. 账户 的 安全 防护 

(1) 利用 注册 表 进 行 安 全 防护 

(2) 利用 本 地 安全 设置 进行 安全 防护 

(3) 利用 账户 安全 策略 进行 安全 防护 


能 力 目 标 


1. 能 使 用 user2sid 工具 软件 查看 账户 的 安全 标识 符 

2. 能 手动 查看 账户 的 安全 标识 符 

3. 能 使 用 sid2user 工具 软件 由 安全 标识 符 查看 账户 名 

4. 能 使 用 SYSKEY 双重 加 密 系统 账户 

5. 能 使 用 口令 审核 程序 LC5 利用 向 导 审 计 本 地 系统 账户 安全 性 
6. 能 使 用 口令 审核 程序 LC5 利用 进程 审计 本 地 系统 账户 安全 性 
7. 能 使 用 口令 审核 程序 LC5 利用 进程 审计 远程 账户 安全 性 

8. 能 使 用 口令 审核 程序 LC5 利用 SAM 文件 进行 审计 

9. 能 使 用 注册 表 进 行 系统 的 安全 防护 

10. 能 利用 本 地 安全 设置 进行 安全 防护 

11. 能 利用 账户 安全 策略 进行 安全 防护 


知识 目标 


. 了解 Windows Server 2003 的 安全 特性 

. 了 解 Windows Server 2003 的 安全 认证 过 程 

. 掌握 Windows Server 2003 账户 的 管理 

. 熟悉 Windows Server 2003 安全 账户 的 安全 防护 

. 掌握 Windows Server 2003 账户 审计 工作 的 原理 与 使 用 


素质 目标 


. 树立 较 强 的 安全 意识 
.培养 良好 的 职业 道德 

. 掌握 网 络 安全 行业 的 基本 情况 

. 树立 较 强 的 安全 、 节 约 、 环 保 意 识 


i 
2 

3 

4 

5 

6. 了 解 Windows Server 2003 注册 表 原 理 与 结构 

2 

入 

4 

5. 培养 职业 兴趣 ,以 及 爱 岗 敬业 热情 主动 的 工作 态度 
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74 任务 实施 
为 了 完成 本 工作 任务 ,划分 以 下 4 个子 任务 。 
7.4.1 任务 1: 安全 标识 符 的 查看 
1. 任务 目标 
通过 第 三 方 工具 的 使 用 或 手动 操作 ,查看 本 地 或 远程 系统 的 安全 标识 符 , 从 而 判断 账户 
是 否 为 administrator 账户 。 
2. 工作 任务 
(1) 使 用 user2sid 工具 软件 查看 某 账户 的 SID; 
(2) 手动 查看 某 账户 的 SID; 
(3) 使 用 sid2user 工具 软件 ,已 知 SID, 查 看 其 用 户 名 。 
3. 工作 环境 
(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相 连 。 
(2) 软件 工具 : user2sid sid2user 
4, 实施 过 程 
(1) 使 用 user2sid 工具 软件 查看 某 账户 的 SID 
在 Windows Server 2003/XP 系统 中 利用 user2sid 命令 查看 某 账户 SID 的 具体 步骤 
如 下 : 
QO@ 选择 “开始 ”>“ 运 行 "菜单 项 ,打开 “运行 ”对话 框 。 在 “打开 ”下 拉 列 表 文 本 框 中 输入 
“cmd”, 然 后 单 击 “ 确 定 ” 按 钮 。 
@ 在 “命令 提示 符 ” 窗 口中 输入 命令 , 转 到 user2sid 命令 所 在 目录 ,如 图 7-2 所 示 。 
=|9|x| 
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图 7-2 在 “命令 提示 符 ”窗口 中 找到 user2sid 命令 
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@ 查看 本 地 账户 SID 的 命令 格式 为 “user2sid 十 空格 十 ee ,这 里 查看 管理 员 账 户 的 
SID 号 , 即 在 “命令 提示 符 ” 窗 口 输入 “user2sid administrator”, 然 后 按 下 “Enter” 键 ,如 图 7-3 


所 示 。 


图 7-3 在 “命令 提示 符 ” 窗 口 查看 管理 员 账 户 的 SID 号 


有 口 输入 “user2sid guest”, 然 后 按 下 “Enter” 键 ,可 以 查看 guest 账 


@ 在 “命令 提示 符 ” 
户 的 SID 号 ,如 图 7-4 所 示 。 


图 7-4 在 “命令 提示 符 ” 窗 口 查 看 guest 账户 的 SID 号 


@@ 查看 远程 主机 账户 SID 的 命令 格式 为 “user2sid 十 空格 十 \\IP 地 址 十 空格 十 " 账 
户 "”。 这 里 查看 远程 主机 账户 “bob” 的 SID, 远 程 主机 的 IP 地 址 是 222. 19. 221. 75, 即 在 命 
令 提 示 符 窗口 输入 "user2sid \\222. 19. 221.75 "bob"”, 然 后 按 下 “Enter” 键 ,如 图 7-5 所 示 。 


.19.221.75 
7989841-2 -1891674531-1993 


horitie 


图 7-5 在 “命令 提示 符 ” 窗 口 查看 远程 主机 账户 的 SID 号 


(2) 手动 查看 某 账 户 的 SID 

如 果 没 有 user2sid 工具 ,或 者 系统 不 允许 安装 第 三 方 软件 , 则 需要 手动 操作 来 查看 某 账 
户 的 SID。 方 法 是 首先 建立 一 个 账户 ,并 制定 该 账户 对 某 个 文件 夹 的 访问 权限 ; 其 次 删除 
该 账户 ,注销 系统 后 重新 登录 ,查看 该 文件 的 权限 设置 ,就 可 以 看 到 删除 账户 的 SID。 具 体 


时 作 步骤 如 下 : 
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J@ 右 击 “我 的 电脑 ”, 然 后 选择 “管理 "菜单 ,在 “计算 机 管理 ”>“ 系 统 工具 ”>“ 本 地 用 户 
和 组 ”>“ 用 户 ” 空 白 处 右 击 , 如 图 7-6 所 示 。 


思 文件 四 损 作 外， 查看 WW 窗口 中 帮助 o0 | = 开导 
气 字 | 白 | 加 | 国 图 | 名 
[EECTIEESES [E33 IE 

系统 工具 dainistrator 管理 计 自 机 ( 城 ] 的 内 置 由 记 


外 国 事件 查看 器 Guest 诬 来 宾 访 问 计算 机 或 访问 域 的 内 
由 ' 王 共 享 文件 天 SUPPORT 38.. CH-Mieroso ft Corpora . 。 这 是 一 个 帮助 和 支持 服务 的 提供 


| 创 陡 新 的 本 地 用 户 账 户 。 


图 7-6 “计算 机 管理 ”窗口 


@ 选择 “新 用 户 ”, 创 建新 用 户 test, 如 图 7-7 所 示 。 
@ 布 击 共享 文件 夹 “g1” 的 “属性 ”菜单 ,弹出 “gl 属性 ”对 话 框 ,然后 选择 “共享 该 文件 
夹 ”, 如 图 7-8 所 示 。 
[last 一 


第 规 ”共享 | 安全 | 自 定义 | 


己 名 


EE| a 
PSW fe 他 共享 流 文 件 买 一 一 一 一 一 一 一 一 一 一 | 
SO 共享 名 :后 
it [ 扫 术 ): 
用 户 数 限 制 。 最 多 用 户 员 ) 
密码 外):; 本 个 允许 的 用 数量 W): | 习 
是 F 
人 i [CE 
局 用 户 下 A 革 录 时 巩 更 改 认 友人) 
7 用 户 不 能 更 改 密码 - 
re mao | 
厂 账户 已 茜 用 名 ) 
Cw ]_xao | 确定 取消 |， 应 用 凶 
图 7-7 “新 用 户 ” 对 话 框 图 7-8 “gl 属性 ?对 话 框 


@ 单 击 “ 权 限 ” 按 钮 ,弹出 “gl 的 权限 ”对 话 框 ,如 图 7-9 所 示 。 
加 单 击 “ 添 加 ”按钮 ,在 “选择 用 户 或 组 ”对 话 框 中 输入 账户 “test”, 然 后 单 击 “ 确 定 ” 按 
钮 ,如 图 7-10 所 示 。 
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[a 的 权限 | 


图 7-9 “gl 的 权限 ”对 话 框 图 7-10 “选择 用 户 或 组 ”对 话 框 


@ 在 “gl 的 权限 "对话 框 中 , 勾 选 test 的 权限 为 允许 “ 读 取 ”, 然 后 单 击 “ 确 定 ” 按 钮 ,如 
图 7-11 所 示 。 

@ 在 “计算 机 管理 "窗口 中 ,删除 本 地 用 户 “test”。 

@ 注销 并 用 原来 的 登录 账户 重新 登录 。 

右 击 共享 文件 夹 “g1” 的 “属性 ”菜单 ,弹出 “gl 属性 ”对 话 框 。 选 择 “ 共 享 该 文件 夹 ”， 
然后 单 击 “ 权 限 ” 按 钮 ,弹出 “gl 的 权限 ”对 话 框 ,就 可 以 看 到 刚才 创建 的 test 账户 的 SID, 如 
图 7-12 所 示 。 


| 了 zx 
共享 机 限 | 共 训 权限 | 
姐 或 用 已 名 称 @@) 姐 或 用 记名 称 人 @)- 
veryone 
@ test (CL-VIIVtest 内 5-1-5-21-778993784-1213378042-3473747739-1011 
i jm 二 
test 的 权限 E) 允许 。 拒 娩 varyone 的 权限 下) 多 许 。 拒绝 
完全 控制 口 口 完全 控制 口 口 
更 口 口 x 口 口 
读 取 回 口 读 职 
确定 取消 应 用 四 | 取消 现 用 ) 
图 7-11 设置 test 的 权限 7-12 查看 账户 test 的 SID 


(3) 使 用 sid2user 工具 软件 ,已 知 SID, 查 看 其 用 户 名 
在 Windows Server 2003/XP 系统 中 利用 sid2user 工具 软件 可 以 通过 SID 号 查看 用 户 


壬 作 任务 七 ”系统 的 账户 管理 


名 。 黑 客 在 人 侵 时 ,可 以 通过 这 样 的 方法 获得 账户 名 并 判断 是 否 为 administrator 账户 。 具 
体操 作 步 又 如 下 : 

O@ 选择 “开始 ”>“ 运 行 ”菜单 项 ,打开 “运行 ”对话 框 。 在 “打开 ”下 拉 列 表 文 本 框 中 输入 
“cmd”, 然 后 单 击 “ 确 定 ” 按 钮 。 

@ 在 命令 行 提示 符 窗口 中 输入 命令 , 转 到 sie2user 命令 所 在 目录 。 

@ 利用 SID 查看 本 地 账户 的 命令 格式 为 “sid2user 十 空格 十 SID 号 ”。 这 里 通过 SID 号 
5-21-778993784-1213378042-3473747739-500 来 查看 用 户 名 , 即 在 命令 提示 符 窗 口 输入 
“sid2user 5-21-778993784-1213378042-3473747739-500”, 然 后 按 下 “Enter” 键 ,如 图 7-13 所 示 。 


不 命令 提示 符 jj] 


5-21-778993784-1213378842-3473747739-588 


图 7-13 在 “命令 提示 符 ” 窗 口 利用 SID 号 查看 账户 


@ 利用 SID 查看 远程 主机 账户 的 命令 格式 为 “sid2user 十 空格 十 \\IP 地 址 十 空格 十 
SID 号 ”。 这 里 通过 SID 号 5 21 57989841 2025429265 1801674531 1003 来 查看 用 户 名 , 即 
在 命令 提示 符 窗口 输入 “sid2user \\222. 19. 221.75 5 21 57989841 2025429265 1801674531 
1003”, 然 后 按 下 “Enter” 键 ,如 图 7-14 所 示 。 


图 7-14 在 “命令 提示 符 ” 窗 口 利用 SID 号 查看 远程 主机 账户 


7.4.2 任务 2: SYSKEY 双重 加 密 账户 保护 


1. 任务 目标 
通过 系统 自 带 的 小 工具 SYSKEY 对 系统 的 安全 账户 管理 器 SAM 进行 二 次 加 密 。 
2. 工作 任务 


使 用 SYSKEY 双重 加 密 账 户 保护 。 

3. 工作 环境 

两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相 连 。 

4. 实施 过 程 

在 Windows Server 2003/XP 系统 中 通过 系统 自 带 的 小 工具 SYSKEY 对 系统 的 安全 账 
户 管理 器 SAM 进行 二 次 加 密 的 步骤 如 下 : 

(1) 选择 “开始 ”>“ 运 行 ”菜单 项 ,打开 “运行 ”对 话 框 。 在 “打开 ”下 拉 列 表 文 本 框 中 输 
人 “syskey. exe”, 然 后 单 击 “ 确 定 ” 按 钮 。 
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(2) 在 弹出 的 “保证 Windows 账户 数据 库 的 安全 ”窗口 中 , 单 击 “ 确 定 ” 按 钮 ,如 图 7-15 
所 示 , 完 成 对 SAM 文件 的 二 次 加 密 。 此 时 没有 设置 双重 启动 密码 ,是 系统 产生 的 密码 , 密 


码 直 接 保存 在 注册 表 中 。 
(3) 单 击 “ 更 新 ”按钮 ,进入 密码 设置 窗口 ,如 图 7-16 所 示 。 
国 
「 者 码 启动 站 一 一 
在 系统 启动 时 需要 键入 一 个 密码 。 
BBV: re 
确信 D: Je 
本 
日 "个 系统 产生 的 窟 码 &) 
my 区 下 和 上 启动 3) 
在 阿 需 要 锋 信 一 张 软 机 
一 旦 启用 这 个 加 密 就 不 能 禁用 . 
他 在 本 机 上 保存 记 动 密码 仙 ) 
3 茜 用 加 宪 叫 A 
Cee] we | wo | .| 
7-15 “保证 Windows 账户 数据 库 的 安全 ”窗口 7-16 “启动 密码 ”对 话 框 


(4) 选择 “密码 启动 ”, 然 后 输入 密码 并 确认 ,再 单 击 “ 确 认 ” 按 钮 。 

(5) 若 选 择 “ 系 统 产 生 的 密码 ”, 可 以 选择 密码 的 保存 方式 。 

如 果 选 择 “ 在 软盘 上 保存 启动 密码 ”, 会 提示 输入 所 设 定 的 启动 密码 ; 插入 空白 的 软盘 ， 
确定 后 密码 文件 保存 在 软盘 上 。 设 置 完 成 后 ,下 次 启动 计算 机 时 ,会 提示 插入 密码 软盘 , 验 
证 成 功 后 才能 进入 系统 。 

如 果 选 择 “ 在 本 机 上 保存 启动 密码 ”, 确 定 后 输入 刚才 设置 的 启动 密码 , 则 启动 密码 保存 
到 硬盘 上 ,启动 时 不 会 显示 启动 密码 的 窗口 。 


7.4.3 任务 3: 使 用 LC5 审计 账户 的 安全 性 


1. 任务 目标 

通过 美国 计算 机 安全 公司 @stake 的 口令 审核 程序 审核 本 地 和 远程 Windows 账户 的 安全 性 。 

2, 工作 任务 

(1) 利用 向 导 进 行 本 地 审计 ; 

(2) 利用 进程 进行 本 地 审计 ; 

(3) 利用 进程 进行 远程 审计 ; 

(4) 利用 SAM 文件 进行 审计 。 

3, 工作 环境 

(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 

(2) 软件 工具 : LOphtCrack5 。 

4. 实施 过 程 

(1) 利用 向 导 进 行 本 地 审计 

Q@ 首先 建立 实验 账户 a, 密 码 是 123456; 实验 账户 b, 密 码 是 abcabc; 实验 账户 ,密码 是 
123abc; 实验 账户 d, 密 码 是 abc123; 实验 账户 e, 密 码 是 12344321; 实验 账户 f, 密 码 是 abcd1234。 


工作 任务 七 ”系统 的 账户 管理 
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@ LC5 的 安装 很 简单 。 安 装 完毕 后 ,打开 LC5 ,默认 运行 LC5 向 导 , 如 图 7-17 所 示 。 
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@ 向 导 设置 完成 之 后 。 会 出 现 本 次 审计 的 结果 ,如 图 7-18 所 示 。 
=9I 
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了 ile Wiey Session Schedule Eenediate Help 
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7-18 “@stake LC5” 窗 口中 显示 的 审计 结果 
(2) 利用 进程 进行 本 地 审计 rr 


如 果 不 用 向 导 开始 ,可 以 利用 进程 进行 本 地 账户 审计 。 [patfan 一 一 
GD 选择 *File" 菜 单 中 的 “New Session”, 新 建 一 个 会 话 。 本 
然后 ,选择 “Session” 菜 单 中 的 “Import”, 再 在 “Import” 对 话 框 
中 选中 “Local machine” 项 ,如 图 7-19 所 示 。 了 
@ 单 击 *OK” 按 钮 ,弹出 *@stake LC5” 主 窗口 界面 ,如 en 
图 7-20 所 示 , 显 示 出 从 本 地 主机 中 导入 的 8 个 账户 。 CFrom Un shadow fie 
@ 选择 “Session” 菜 单 中 的 “Session Option”, 对 本 次 破 
解 的 模式 与 破解 字典 进行 设置 ,如 图 7-21 所 示 。 7-19 “Import” 对 话 框 (1) 


斧 @stoke LC5 - [Untitled3] 
ile View Sersion Sshedule Benediate Help 


向 户 他 岂 相 这 全 易 >ia 国 他 


Inported 8 accounts 他 om the local machine 


图 7-20 “@stake LC5” 窗 口中 显示 导入 的 8 个 账户 
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图 7-21 “Auditing Options For This Session” 对 话 框 


在 “Auditing Options For This Session” 对话 框 中 有 4 种 破解 模式 : 字典 攻击 
(Dictionary Attack) ,混合 攻击 (Hybrid Attack) 、 预 设 攻击 (Precomputed Attack) 和 暴力 攻 
击 (Brute Force Attack)。 把 4 种 破解 模式 都 选 上 ,然后 单 击 “OK” 按钮 。 

@ 单 击 “Session” 菜 单 中 的 “Begin Audit” 按 钮 ,或 按 快捷 键 F4, 或 单 击 工 具 栏 中 的 “ 运 
行 ?按钮 开始 破解 。 

(3) 利用 进程 进行 远程 审计 

利用 进程 进行 远程 审计 的 步骤 如 下 : 

O@ 选择 “File” 菜 单 中 的 “New Session” ,新建 一 个 会 话 。 然 后 ,选择 “Session" 菜 单 中 的 
“Import”, 再 在 “Import” 对 话 框 中 选中 “Remote machine” 项 ,如 图 7-22 所 示 。 


图 7-22 “Import” 对 话 框 (2) 
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@ 在 “Import” 对 话 框 中 单 击 “Add” 按 钮 。 ad Bachine to Esterin | 
@ 在 弹出 的 “Add Machine to Remote Import” 对 Machine: [15216351 
话 框 中 输入 远程 主机 的 IP 地 址 ,并 单 击 *OK” 按 钮 ,如 G widow c uN 
图 7-23 所 示 。 
@ 在 弹出 的 “Enter Credentials” 对 话 框 中 输入 远 
程 主机 中 具有 管理 员 权限 的 账户 和 密码 , 并 单 击 ”图 23 “Add Machine to Remote 
“OK” 按 钮 ,如 图 7-24 所 示 。 Import 对 话 杠 


@ 在 “Import” 对 话 框 单 击 “*OK” 按 钮 .会 弹出 “Warning!1” 窗 口 ,如 图 7-25 所 示 。 单 击 
两 次 “OK” 按 钮 , 即 可 导入 远程 会 话 , 然 后 开始 审计 ,方式 与 前 面 类 同 。 
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Achninistrator privioges on the mmachine: 
192.168.51 

User administrator EE 
The nt ele eee othe ime Mecho) ee 

pe i a re en a eyo, a 
ps te you wich lo avedd hs posslily. manualy 

Domain' the LC Agent on 

厂 Save these credentials for iubue use 厂 Dont show me this agan 
[2 CE 
图 7-24 “Enter Credentials” 对 话 框 图 7-25 “Warning!” 窗 口 


(4) 利用 SAM 文件 进行 审计 
利用 SAM 文件 进行 远程 审计 的 步骤 如 下 : 
Q@ 用 “超级 兔子 ”获得 SAM 文件 。 
@ 选择 “File” 菜 单 中 的 “New Session”, 新 建 一 个 会 话 。 然 后 ,选择 “Session” 菜 单 中 的 
“Import”, 再 在 “Import” 对 话 框 中 选中 “From SAM file” 项 ,如 图 7-26 所 示 。 
per = 


Import from 一 ee lee Pee i el ee 
Uses Kis in use. You may copy 2 
Local machine ng ystem es pe 
人 NTFS fie system retrieving 
C System or you may retrieve® from a backup tape, from a 
NT Emergency Repar Disk, or from a repair drectory on 
i the system hard drive, Cick OK to mport a copied SAM fle, 
5 ee ]MPORTANT NOTE! IF you retrieved the SAM fie from a 
Er Windows 2000 or XP machine, i is very ikely that t is SYSKEY 
C FromLc4 fie encrypted! SYSKEY hashes are strongly encrypted and wil NOT 
Fi wo is be found using a password crackerl yy 
{From Unix shadow fle 
Flename Browse,.. 


Cw |] oe | 
图 7-26 “Import” 对 话 框 (3) 


工作 任务 七 ”系统 的 账户 管理 


7.4.4 任务 4: 账户 的 安全 防护 


1. 任务 目标 
通过 修改 注册 表 或 设置 本 地 安全 策略 维护 Windows 账户 的 安全 性 。 


2; 工作 任务 

(1) 利用 注册 表 进 行 安全 防护 ; 

(2) 利用 本 地 安全 设置 进行 安全 防护 ; 
(3) 利用 账户 安全 策略 进行 安全 防护 。 


3. 工作 环境 
两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 


4. 实施 过 程 

(1) 利用 注册 表 进 行 安全 防护 

如 果 没 有 需要 LM 身份 验证 的 客户 机 ,应 禁用 LM 散 列 的 存储 ,从 而 避免 非法 入 侵 者 
利用 LC5 破解 Windows 用 户口 令 。 具 体操 作 步 又 如 下 : 

J 选择 “开始 ”>“ 运 行 " 菜 单项 ,打开 “运行 "对话 框 。 在 “打开 ”下 拉 列 表 文本 框 中 输入 
“regedit”, 然 后 单 击 “ 确 定 ” 按 钮 。 

@ 将 注册 表 HKEY_LOCAL _MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 
的 一 个 子 项 nolmhash 的 键 值 改 为 “1”, 如 图 7-27 所 示 。 


文件 全 编辑 蚜 ) 查看 名 收 关 天 以 ) 帮助 中 

Le 

由 国 MccessProviders 
dit 


类 型 数据 
加 本 认 ) REG_SZ 性 值 未 设置 ) 
国 waditbaseobjects REG_DYORD Ox00000000 中) 


A 
名 hts REG_WULTI_SZ msvl.0 
和 66 REG_BINARY 0 30 00 00 00 20 00 00 
Ei REG_DYORD 0x00000000 (D) 
TE Kerberos BEG_INORD Ox00000000 OD) 
wnip BEG_ORD 0x00000000 O) 
出 国 EE REG_DORD ox00000000 加 ) 
由 图 SryiCeche HPG_IYORD 0x00000000 |) 
四国 tediagropert NT 0 
由 国 medialaseer BEG_DYORD 0x00000001 (1) 
由 国 Network REG_DYORD Ox00000002 (2) 
由 国 NetvorkProvider REG_DYORD Ox00000210 (S28) 
由 国 ms REG_DYORD Ox00000000 (D) 
申 国 ms BEG_DWOBD x00000001 (1) 
由 国 pm REG_WULTI_SZ 
由 国 Print REG_DYOBD 0x00000000 (0) 


a PriorityControl REG_DYORD Ox00000001 (1) 


ProduetOptions REG_DYORD 0x00000001 (1) 
i REG MVLTI_ SZ kerberos nsvi_0 schannel wdigest 
败 的 电脑 MEY_LDCAL_MACHINE\SYSTEN\CurrentContr olSet\Control\Lsa 也 


图 7-27 注册 表 信息 


@@ 修改 完 注册 表 后 ,重新 启动 或 注销 系统 。 

图 新 建 账户 ,然后 导入 LC5 进行 审计 。 

@ 从 审计 的 结果 可 以 看 到 ,新 建 的 账户 密码 没有 被 破解 。 由 此 可 见 ,注册 表 修改 能 有 
效 防御 针对 LM 散 列 的 攻击 。 

(2) 利用 本 地 安全 设置 进行 安全 防护 

如 果 不 修改 注册 表 的 值 , 可 以 利用 本 地 安全 策略 的 设置 进行 安全 防护 ,具体 操作 步骤 
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如 下 : 
Q@ 选择 “开始 ”>“ 运 行 "菜单 项 ,打开 “运行 "对 话 框 。 在 “打开 ”下 拉 列 表 文本 框 中 输入 
“secpol msc”, 然 后 单 击 “确定 "按钮 ,如 图 7-28 所 示 。 末末 
名 在 林地 安全 设置 中 ,选择 "安全 设置 "一 “本 eX 全 
地 策略 ”>“ 安 全 选项 "菜单 项 。 号 玫 o 吉 和 和 
:Eee 
@ 在 右 侧 窗口 双击 “网 络 安全 : 不 要 在 下 次 更 改 于 了 


密码 时 存储 LAN Manager 的 哈 希 值 ”, 在 弹出 的 对 话 取消 | 浏览 @， 

框 中 选择 “已 启用 ”, 然 后 单 击 “ 确 定 ” 按 钮 ,如 图 7-29 

所 示 。 这 样 , 就 可 以 阻止 针对 LM 散 列 的 攻击 。 图 7-28 “运行 "对 话 杠 
=|DIx| 


文件 是 ) ”操作 心 查看 QW) 帮助 00 
| 各 | 四 | 轿 罗 | 岛 
安全 设置 [| 
日 稚 帐 户 第 略 辆 网 妆 安全 : LIAF 客户 请 签名 要 求 协商 签名 
日 国 本 地 第 略 : 不 要 在 下 次 更 改 密码 时 存 久 LAN 已 茜 用 


ay 


Nanager 
由 国 审核 第 略 加 网 站 安全 : 基于 NTUN SSF (包括 安全 RPC) 服务 器 的 最 小 会 话 安全 。 “没有 最 小 
外 国 用 尸 权限 分 也 图 网 治安 全 : 基于 TUN ssP (包括 安全 PC) 客户 端的 最 小 会话 安全 设 有 最小 


由 国 公 击 帝 略 国人 同 阁 安全， 不 要 在 下 次 更 改变 码 时 存储 LA AGEAE 的 区区]EE3| 


问 
由 回 区 件 限制 弟 中 
日 仿 I 安全 策略， 在 本 地 计算 机 加 sw 和 


7-29 “安全 选项 ”设置 


(3) 利用 账户 安全 策略 进行 安全 防护 

因为 密码 破解 软件 利用 暴力 破解 .黑客 字典 等 方法 破解 系统 账户 密码 ,只 要 有 足够 长 的 
时 间 ,可 以 破解 任何 密码 ,因此 使 用 账户 安全 策略 可 以 增加 口令 破解 难度 ,有 效 地 进行 安全 
防护 。 有 具体 操作 步骤 如 下 : 

Q@ 选择 “开始 >“ 运行" 菜单 项 ,打开 “运行 "对话 框 。 在 “打开 ”下 拉 列 表 文 本 框 中 输入 
“secpol. msc”, 然 后 单 击 “ 确 定 ” 按 钮 。 

@ 在 本 地 安全 设置 中 ,选择 “安全 设置 >“ 账户 策略 ”>“ 密 码 策略 "菜单 项 。 

@ 在 右 侧 窗口 双击 “密码 必须 符合 复杂 度 要 求 ”, 在 弹出 的 对 话 框 中 选择 “已 启用 ”, 然 
后 单 击 “ 确 定 ” 按 钮 ,如 图 7-30 所 示 。 

启用 该 策略 后 ,新 建 账户 密码 必须 满足 复杂 度 要 求 , 即 密码 不 得 包含 账户 名 或 用 户 全 名 
的 一 部 分 ,密码 长 度 至 少 为 6 位 字符 ,密码 必须 包含 英文 大 写字 母 .英文 小 写字 母 , 数 字 、 非 
字母 符号 (例如 苦 、%、&、x 、 一 、! 等 )4 类 中 的 3 类 。 

如 此 设置 后 ,仍然 不 能 完全 抵抗 使 用 黑客 字典 的 暴力 破解 法 ,还 需要 设 定 账户 锁定 策 
略 ,操作 步骤 如 下 : 

J@ 在 本 地 安全 设置 中 ,选择 “安全 设置 ">“ 账 户 策略 >“ 账户 锁定 策略 ”菜单 项 。 


IE 一 


图 7-30 “密码 策略 ”设置 


@ 在 右 侧 窗口 双击 * 账 户 锁定 阔 值 ,在 弹出 的 对 话 框 中 选择 *3”, 然 后 单 击 “ 确 定 ” 按 
钮 ,如 图 7-31 所 示 。 


图 7-31 “账户 锁定 阅 值 ”设置 


还 有 一 些 技 巧 有 助 于 维护 系统 的 安全 性 ,如 下 所 示 。 

@ 右 击 “我 的 电脑 ”, 然 后 选择 “管理 "菜单 ,在 “计算 机 管理 ”>“ 系 统 工具 ”一 “本 地 用 户 
和 组 ”>“ 用 户 ” 中 把 Administrator 账户 重新 命名 ,如 图 7-32 所 示 。 

@ 再 创建 一 个 名 为 “Administrator” 的 本 地 账户 ,并 将 其 权限 设置 成 最 低 ,并 加 上 一 个 
超过 10 位 的 超级 复杂 的 密码 。 

@ 在 计算 机 管理 单元 中 查看 系统 的 活动 账户 列表 ,禁用 所 有 的 非 活动 账户 ,特别 是 
“Guest”, 删 除 或 者 禁用 不 再 需要 的 账户 。 
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所 计算 机 管理 
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供 末 坊间 计算 机 天 访问 是 的 内 
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| 
图 7-32 Administrator 账户 重新 命名 


75 常见 问题 解答 


1. NTFS 的 磁盘 格式 与 FAT、FAT32 有 什么 区 别 ? 

答 : FAT 最 早 是 DOS 所 支持 的 文件 系统 ,比较 古老 。 它 最 大 支持 4GB 分 区 ,文件 的 存 
储 效率 和 管理 功能 都 比较 低 。FAT32 支持 磁盘 分 区 从 512MB 到 2TB, 文 件 最 大 限制 为 
4GB。 而 NTFS 支持 磁盘 分 区 从 100MB 到 2%*B, 推 荐 最 大 分 区 是 2TB, 支 持 文件 和 文件 夹 
级 的 安全 ; 可 防止 未 授权 用 户 访问 文件 或 文件 夹 ,支持 文件 压缩 和 加 密 功 能 ,可 以 限制 用 户 
在 某 个 分 区 使 用 空间 ,并 能 自动 修复 磁盘 错误 。 

2. 如 何 进行 分 区 转换 ? 

答 : FAT/FAT32 可 以 在 不 破坏 数据 的 情况 下 转换 成 NTFS, 转 换 命令 如 下 : 

Convert 一 驱动 器 号 : > /fs:ntfs [/ 可 选 参数 ] 


但 是 ,NTFS 不 能 转换 成 FAT/FAT32。NTFS 到 FAT 的 唯一 办 法 就 是 先 备份 数据 ， 
然后 重新 格式 化 为 FAT/FAT32 分 区 ,再 将 备份 的 数据 恢复 到 新 的 FAT/FAT32 分 区 中 。 


76 过 关 练 习 


一 、 选 择 题 

Windows Server 2003 的 Administrator 账户 的 RID 是 ( Ys 

A. 500 B. 501 C. 1000 D. 1001 
二 、 填空 题 

Windows Server 2003 安全 模型 的 主要 功能 是 和 。 

三 、 简 答题 


1. 简 述 Windows Server 2003 主要 包含 的 6 个 安全 元 素 。 
2. 简 述 安全 标识 符 的 含义 及 其 作用 。 

、 实 操 题 

1. 使 用 LC5 审计 你 的 本 地 账户 ,看 是 否 安全 。 

2. 你 有 几 种 方法 导出 系统 的 SAM? 


工作 在 务 由 
注册 表 的 管理 


81 用 户 需求 与 分 析 


Windows 的 注册 表 (Registry) 是 一 个 庞大 的 数据 库 , 它 包含 了 Windows 运行 期 间 不 断 
引用 的 信息 ,存储 着 软 、 硬 件 的 有 关 配 置 和 状态 信息 ,应 用 程序 和 资源 管理 器 外 壳 的 初始 条 
件 .首选 项 和 外 载 数据 ; 计算 机 整个 系统 的 设置 和 各 种 许可 ,文件 扩展 名 与 应 用 程序 的 关 
联 ,硬件 的 描述 .状态 和 属性 ; 计算 机 性 能 记录 和 底层 的 系统 状态 信息 ,以 及 各 类 其 他 的 数 
据 。 从 Windows 启动 过 程 到 登录 、 应 用 程序 的 运行 ,Windows 中 进行 的 所 有 操作 都 需要 注 
册 表 的 信息 作为 后 盾 , 所 以 注册 表 的 管理 在 网 络 管理 员 的 系统 维护 中 至 关 重 要 。 


82 预备 知识 


8.2.1 注册 表 的 组 成 


从 一 般 用 户 的 角度 看 ,注册 表 系 统 由 注册 表 数 据 库 和 注册 表 编 辑 器 两 部 分 组 成 。 注 册 
表 编 辑 器 是 专门 编辑 注册 表 的 程序 ,负责 注册 表 的 浏览 ,编辑 和 修改 。 注 册 表 编辑 器 与 资源 
管理 器 相似 ,也 是 目录 结构 。 但 资源 管理 器 中 的 目录 是 文件 夹 , 而 注册 表 中 的 目录 是 “ 键 
(key)”。 在 注册 表 编 辑 器 中 ,最 上 面 的 键 叫 “ 根 键 ", 里 面包 含 的 叫 * 子 键 "。 单 击 根 键 前 面 的 
加 号 ,就 能 展开 属于 这 个 根 键 的 子 键 。 

注册 表 编 辑 器 的 左 侧 窗口 显示 的 是 目录 结构 , 右 侧 窗口 显示 的 是 与 左 侧 窗口 中 的 键 相 
关 的 设 定 值 .命令 等 。 所 有 的 注册 表 键 都 有 “默认 ”项 ,每 个 值 分 为 “名 称 ”"“ 类 型 ”和 "数据 ” 
3 个 部 分 ,这 种 直观 的 结构 体系 也 称 为 注册 表 的 逻辑 结构 。 

Windows 2003/XP 的 注册 表 由 5 个 根 键 组 成 。 下 面 介绍 每 个 根 键 的 内 容 和 含义 ,如 
表 8-1 所 示 。 

表 8-1 注册 表 的 5 个 根 键 


名 称 含义 内 容 
HKEY_CLASSES_ROOT 种 类 _ 根 键 存 有 系统 中 所 有 的 文件 类 型 标识 和 基本 操作 标识 
HKEY_CURRENT_USER 当前 _ 用 户 键 存 有 当前 用 户 配置 文件 和 设置 信息 


存 有 计算 机 安装 的 硬件 和 软件 的 所 有 相关 设置 内 
容 , 以 及 硬件 和 硬件 驱动 程序 的 设置 信息 

存 有 所 有 用 户 信息 ,包括 动态 加 载 的 用 户 配置 文 
件 和 默认 的 配置 文件 

HKEY_CURRENT CONFIG 当前 _ 配 置 键 ”| 存 有 本 地 计算 机 系统 使 用 的 硬件 配置 信息 


HKEY_LOCAL MACHINE 定位 _ 机 器 键 


HKEY_USERS 用 户 键 


1]24” 网 络 安全 部 署 
EE 


8.2.2 注册 表 值 的 数据 类 型 


注册 表 值 采用 了 多 种 数据 形式 来 存储 设置 。 在 注册 表 编 辑 器 的 右 侧 窗口 中 ,类 型 > 显 
示 的 项 目 就 是 所 属 值 的 数据 形式 。 经 常 使 用 的 值 的 数据 形式 有 字符 串 值 .二进制 值 、 
DWORD 值 .多 字符 串 值 和 可 扩充 字符 串 值 等 ,如 表 8-2 所 示 。 


表 8-2 注册 表 值 的 数据 类 型 


数据 类 型 功 能 
DWORD 表示 双 词 (Double Word) ,表示 的 类 型 为 REG_DWORD。 词 是 能 表示 0 一 
Da 65535 范围 内 的 16 位 数 , 因此 DWORD 是 由 两 个 16 位 值 组 成 的 32 位 数值 。 
DWORD 能 表示 2”, 也 就 是 40 亿 以 上 的 数据 ,但 大 部 分 情况 下 用 来 表示 “ 真 (1)” 和 
假 “(0)” 
多 字符 串 值 多 种 UNICODE 的 字符 串 集合 ,类 型 是 REG_MULTI SZ, 能 把 多 种 内 容 显 示 为 数据 
字符 串 什 字符 串 类 型 的 数据 类 型 ,表示 为 REG_SZ。 这 里 的 S 是 指 * 字 符 串 (String)”,Z 表示 
“以 0 组 成 的 字 节 结束 ” 
二 进 制 值 用 0 和 1 表示 的 二 进 制 数据 类 型 ,类 型 是 REG_BINARY 
和 量 ,这 些 多 E 
可 扩充 字符 申 什 XP 中 使 用 多 个 系统 定义 变量 ,这 些 变 量 可 以 在 BAT 文件 或 控制 面板 的 系统 环境 变 


量 中 设 定 , 在 注册 表 编辑 器 中 显示 为 REG_EXPAND_SZ 类 型 


8.2.3 注册 表 的 打开 方式 
注册 表 采 用 命令 行 方式 打开 。 选 择 * 开 始 ”-~“ 运 行 "菜单 项 ,在 “打开 ”下拉 列表 文本 杠 


中 输入 “regedit 


”命令 并 按 “Enter” 键 ,可 以 打开 注册 表 窗 口 。 


83 方案 设计 


方案 设计 如 表 8-3 所 示 。 


任务 名 称 


表 8-3 方案 设计 
注册 表 的 管理 


任务 分 解 


1. 关闭 默认 共享 

(1) 防范 IPC$ 攻击 

(2) 修改 注册 表 ,关闭 默认 共享 
2. 设置 Windows 的 自动 登录 
3. 清除 系统 中 随机 启动 的 木马 
4. 清除 恶意 代码 

(1) 删除 开机 自动 弹出 的 网 页 
(2) 删除 开机 自动 弹出 的 恶作剧 对 话 框 
(3) 修改 IE 首页 

(4) 修改 IE 右键 菜单 

5. 防止 SYN 洪水 攻击 


工作 任务 八 注册 表 的 管理 


续 表 


1. 能 通过 修改 注册 表达 到 防范 IPCS$ 攻击 的 目的 
2. 能 通过 修改 注册 表 关 闭 默 认 共享 
3. 能 通过 修改 注册 表达 到 自动 登录 到 计算 机 的 目的 
4. 能 手动 清除 隐藏 在 系统 中 随机 启动 的 木马 
能 力 目标 ”| 5. 能 通过 修改 注册 表 删 除开 机 自动 弹出 的 网 页 
6. 能 通过 修改 注册 表 删 除开 机 自动 弹出 的 恶作剧 对 话 框 
7. 能 手动 修改 被 算 改 的 IE 首页 
8. 能 手动 修改 IE 右键 菜单 项 
9. 能 通过 修改 注册 表 防 范 SYN 洪水 攻击 


. 了 解 注册 表 的 组 成 
. 熟悉 注册 表 值 的 数据 类 型 
. 擎 握 注 册 表 的 打开 方式 


知识 目标 


1 

2 

3 

1. 培养 良好 的 职业 道德 

2. 树立 较 强 的 安全 意识 
素质 目标 | 3. 培养 职业 兴趣 ,以 及 爱 岗 敬业 、 热 情 主动 的 工作 态度 
4. 具有 可 持续 发 展 能 力 
5 


.树立 较 强 的 安全 、 节 约 \ 环 保 意识 


84 任务 实施 


8.4.1 任务 1: 关闭 默认 共享 


1, 任务 目标 

在 默认 安装 Windows 系统 的 情况 下 ,为 了 管理 方便 ,所 有 的 硬盘 都 是 隐藏 共享 的 。 一 
般 默 认 共 享 的 目录 只 有 系统 管理 员 才 能 够 在 网 络 中 查看 到 ,因为 在 共享 名 称 旁 加 了 “$” 符 
号 ,除非 别人 知道 这 个 共享 ,否则 将 无 法 找到 该 共享 的 文件 。 虽然 对 其 访问 需要 超级 用 户 的 
密码 ,但 这 是 潜在 的 安全 隐患 ,因此 从 服务 器 的 安全 考虑 ,最 好 关闭 这 个 “默认 共享 ”, 以 保证 
系统 的 安全 。 


2. 工作 任务 
(1) 防范 IPC$ 攻击; 
(2) 修改 注册 表 , 关 闭 默认 共享 。 


3. 工作 环境 
一 台 预 装 Windows Server 2003/XP 的 主机 。 


4. 实施 过 程 

(1) 防范 IPC$ 攻击 

通过 修改 注册 表 , 达 到 防范 IPCS$ 攻击 的 目的 ,具体 步骤 如 下 : 

Q@ 打开 注册 表 编 辑 器 ,依次 展开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl 
Set\Control\Lsa, 如 图 8-1 所 示 。 
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:注册 表 编辑 普 


图 8-1 打开 注册 表 编 辑 器 (1) 


@ 在 该 子 键 右边 窗 格 中 找到 并 双击 打开 *restrictanonymous” 键 值 项 ,将 “数值 数据 ? 文 


本 框 里 的 数值 修改 为 "1”, 然 后 单 击 * 确 定 "按钮 保存 ， 1 加 
如 图 8-2 所 示 。 数值 名 称 0; 
(2) 修改 注册 表 , 关 闭 默认 共享 ee 
要 关闭 C$ 、D$ 和 admin $ 等 类 型 的 默认 共享 ， FL | tw 
按照 以 下 步骤 来 操作 。 


@ 打开 注册 表 编 辑 器 ,依次 展开 HKEY_LOCAL_ 
MACHINE \ SYSTEM \\ CurrentControlSet \ Services \ 8-2 ”修改 “restrictanonymous” 键 值 
lamanserver\parameters, 如 图 8-3 所 示 。 


”注册 表 编 辑 器 
文件 全 编辑 €) 查看 
类 型 


lB]NullSessionShares REG MULTI Sz 
痢 |requresecuritysignature REG_DWORD 
千 DefautSecu 寺 | | 痢 restrictnullsessaccess 。 REG_DWORD 


加 enum 8]serviceDll REG_EXPAND_SZ 
辐 Linkage 高 sze REG_DWORD 
» 


写 parameters REG_DWORD 


和 oy 几 


8-3 ”打开 注册 表 编 辑 器 (2) 


4 
我 的 电脑 HkEY. 


@ 在 该 子 键 右边 窗 格 中 找到 并 双击 打开 “AutoShareServer” 键 值 项 ,将 “数值 数据 ” 文 
面 到 | 相框 里 的 数值 修改 为 ~0”, 然 后 单 击 “ 确 定 ” 按 钮 ,如 
: 图 8-4 所 示 。 

@ 如 果 找 不 到 “AutoShareServer” 键 值 项 ,在 右 侧 
窗 格 中 右 击 ,然后 在 弹出 的 快捷 菜单 中 选择 “新 建 " 一 
“DWORD" 菜 单项 ,再 在 新 建 项 上 右 击 ,将 其 重新 命名 


为 “AutoShareServer”, 类 型 为 “REG_DWORD”, 值 
图 8-4 修改 “AutoShareServer” 键 值 为 “0” 


8.4.2 任务 2: 设置 Windows 的 自动 登录 


1. 任务 目标 
如 果 计 算 机 被 黑客 监控 了 ,在 登录 Windows 时 账号 密码 有 可 能 外 泄 , 可 通过 设置 注册 


工作 任务 八 ”注册 表 的 管理 


表 , 人 允许 用 户 绕 过 Windows 系统 的 登录 对 话 框 ,自动 登录 到 计算 机 和 网 络 中 。 
2. 工作 任务 
设置 Windows 的 自动 登录 。 
3. 工作 环境 
一 台 预 装 Windows Server 2003/XP 的 主机 。 
4. 实施 过 程 
通过 修改 注册 表 , 达 到 自动 登录 到 计算 机 的 目的 ,具体 步骤 如 下 : 


(1) 打开 注册 表 编 辑 器 ,依次 展开 HKEY_LOCAL_MACHINE\SOFTWARE\ 
Microsoft\Windows NT\CurrentVersion\Winlogon, 如 图 8-5 所 示 。 


8-5 打开 注册 表 编 辑 器 (3) 


(2) 右 击 Winlogon 子 键 创 建 3 个 “字符 串 值 , 并 将 其 分 别 命名 为 DefaultDomainName、 
DefaultUserName 和 DefaultPassword, 如 图 8-6 所 示 。 


生 wndows 


- DefautDomanName | 
日 生 wnlogon 司 | 固 boefaunuserName 
上 4 


8-6 创建 新 键 值 项 


(3) 上 步 创 建 的 3 个 键 值 项 分 别 为 用 户 所 在 的 域名 .登录 用 户 名 和 密码 。 依 次 编辑 键 
值 ,然后 单 击 “ 确 定 ” 按 钮 保存 ,如 图 8-7 所 示 。 


(4) 再 新 建 一 个 名 为 “AutoAdminLogon” 的 字符 串 值 并 将 键 值 设置 为 “1”, 已 激活 自动 
登录 , 单 击 “确定 ?按钮 保存 ,如 图 8-8 所 示 。 


1x 
数值 名 称 0D) 
Pettiserime 
数值 数据 QD ; 

Cm | we | 


图 8-7 设置 登录 用 户 名 图 8-8 设置 键 值 (1) 
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8.4.3 任务 3: 清除 系统 中 随机 启动 的 木马 


1. 任务 目标 

木马 通常 将 自身 隐藏 在 系统 中 某 个 不 起 眼 的 角落 里 ,并 且 将 自己 伪装 成 “面貌 普通 ”的 
文件 ,一 旦 用 户 不 小 心 运行 了 该 木马 的 服务 端 , 它 将 在 用 户 的 计算 机 上 立即 开始 工作 ,通过 
端口 与 客户 端 连接 ,黑客 就 可 以 通过 某 个 端口 连接 到 该 计算 机 上 进行 攻击 。 通 过 注册 表 的 
设置 可 以 清除 系统 中 随机 启动 的 木马 。 

2. 工作 任务 

清除 系统 中 随机 启动 的 木马 。 


3. 工作 环境 
一 台 预 装 Windows Server 2003/XP 的 主机 。 


4. 实施 过 

so 自动 启动 的 木马 往往 隐藏 在 HKEY_LOCAL_MACHINE\SOFTWARE \ 
Microsoft\ Windows \ CurrentVersion \ Run、HKEY _ LOCAL _ USER \ SOFTWARE\ 
Microsoft \ Windows \ CurrentVersion \ Run, HKEY _ USERS \ DEFAULT \ Software \ 
Microsoft Windows\ CurrentVersion\ Run 等 子 键 中 。 删 除 这 些 木 马 的 具体 操作 步 又 
如 下 : 

(1) 打开 注册 表 编 辑 器 ,依次 展开 HKEY_LOCAL_MACHINE\SOFTWARE\ 
Microsoft \Windows\CurrentVersion\Run, 如 图 8-9 所 示 。 


a 注册 表 编辑 震 = 加 jd 
文件 E) 坑 辑 E， 查看 w)， 收藏 夹 盈 
类 型 
REG_Sz 
REG_Sz 
加 Reinstall REG_SZz 
由 国 Relably REG_Sz 


i 1_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 岗 


图 8-9 打开 注册 表 编辑 器 (4) 


(2) 在 右边 的 窗 格 中 查找 ,看 是 否 有 可 疑 的 自动 启动 文件 ,扩展 名 为 . exe。 

(3) 按 Ctrl 十 F 快捷 键 弹出 “查找 ?对 话 框 ,然后 在 查找 目标 文本 框 中 输入 在 第 (2) 步 发 现 
的 可 疑 可 执行 文件 。 单 击 “ 查 找 下 一 个 ”按钮 .将 找到 所 有 和 这 个 键 值 一 样 的 程序 ,将 其 删除 。 

(4) 退出 注册 表 , 重 启 计算 机 。 

注意 : 有 些 木 马 程 序 产 生 的 文件 很 像 系统 自 带 的 文件 ,有 时 只 有 一 个 字母 的 差别 。 


8.4.4 任务 4: 清除 恶意 代码 


1. 任务 目标 
Windows 系统 启动 的 同时 就 开始 与 注册 表 的 数据 信息 进行 相互 交换 ,并 且 在 计算 机 使 


工作 任务 八 注册 表 的 管理 


用 的 过 程 中 ,系统 不 断 与 注册 表 中 保存 的 数据 信息 进行 相互 交换 。 因 此 当 用 户 在 浏览 互联 
网 或 下 载 软件 ,资料 时 ,都 面临 着 由 于 系统 漏洞 导致 系统 遭受 各 种 恶意 攻击 的 风险 ,一 旦 感 
染 了 恶意 代码 ,都 可 能 致使 自动 弹出 恶意 网 站 和 对 话 框 ,甚至 有 时 IE 浏览 器 的 首页 和 右键 
菜单 被 算 改 得 面目 全 非 ,而 几乎 所 有 的 网 页 恶意 代码 都 是 利用 注册 表 来 实现 操作 的 。 


2; 工作 任务 

(1) 删除 开机 自动 弹出 的 网 页 ; 

(2) 删除 开机 自动 弹出 的 恶作剧 对 话 框 ; 
(3) 修改 IE 首页 ; 

(4) 修改 IE 右键 菜单 。 


3. 工作 环境 
一 台 预 装 Windows Server 2003/XP 的 主机 。 


4. 实施 过 程 

(1) 删除 开机 自动 弹出 的 网 页 

最 常见 的 恶意 代码 是 开机 即 自动 弹出 网 页 ,这 是 注册 表 项 被 恶意 添加 网 址 所 致 。 用 户 
可 以 打开 注册 表 编 辑 器 ,展开 下 面 两 个 子 键 ,如 果 发 现 这 两 个 子 键 下 的 某 个 键 值 项 的 键 值 是 
弹出 网 页 的 网 址 ,将 键 值 删除 ,然后 重启 计算 机 。 这 两 个 子 键 分 别 是 HKEY_CURRENT_ 
USER\SOFTWARE\ Microsoft\ Windows\CurrentVersion\Run 和 HKEY_CURRENT_ 
USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce。 

在 右 侧 窗 格 中 将 url、html、htm、asp、aspx 或 者 php 等 网 址 属性 的 键 值 全 部 删除 。 这 种 
恶意 代码 往往 会 对 注册 表 的 不 同 键 值 进行 多 处 修改 ,删除 一 处 可 能 还 不 能 完全 将 其 清除 , 因 
此 用 户 可 以 使 用 注册 表 编 辑 器 的 查找 功能 来 搜索 目标 ,并 将 其 删除 。 

(2) 删除 开机 自动 弹出 的 恶作剧 对 话 框 

某 些 恶 意 代 码 会 修改 注册 表 的 某 些 键 值 项 ,让 用 户 在 开机 的 时 候 弹 出 一 些 莫名 其 妙 的 
对 话 框 ,这 个 子 键 为 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ 
CurrentVersion\ Winlogon。 

这 种 对 话 框 看 起 来 很 有 危险 性 ,其 实 只 是 一 个 恶作剧 。 如 果 不 喜 欢 别 人 使 用 自己 的 计 
算 机 ,可 以 利用 这 个 策略 来 警示 不 受 欢 迎 的 “客人 ”。 具 体操 作 步 又 如 下 : 

Q@ 打开 注册 表 编 辑 器 , 依次 展开 HKEY_LOCAL_MACHINE\SOFTWAREA\ 
Microsoft \Windows NT\CurrentVersion\Winlogon, 如 图 8-10 所 示 。 


图 8-10 打开 注册 表 编 辑 器 (5) 
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@ 在 Winlogon 的 右 侧 窗 格 中 找到 两 个 键 值 项 LegalNoticeCaption 和 LegalNoticeText , 然 
后 双击 打开 并 输入 警示 性 文字 ,再 单 击 “ 确 定 ” 按 钮 ,如 图 8-11 和 图 8-12 所 示 。 
下 xl 


数值 名 称 如 ; 
[eeeotieacaption | 


数值 数据 Q); 


图 8-11 在 “LegalNoticeCaption” 中 设置 警示 性 文字 图 8-12 在 “LegalNoticeText” 中 设置 警示 性 文字 


@ 关闭 注册 表 编辑 器 后 重启 计算 机 ,在 出 现 登录 对 话 框 之 前 会 弹出 一 个 警示 框 。 单 击 
“确定 ”按钮 将 仍然 进入 系统 ,不 会 有 什么 影响 。 如 果 要 取消 该 设置 ,把 键 值 删除 即 可 。 

(3) 修改 IE 首页 

Q@ 打开 注册 表 编 辑 器 ,依次 展开 HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft \ 
Internet Explorer\ Main, 

@ 在 右 侧 窗 格 选中 “Start Page” 选 项 ,然后 右 击 ,在 弹出 的 快捷 菜单 中 选择 “修改 ” 菜 
单项 。 

@ 打开 “编辑 字符 串 ” 对 话 框 ,将 “数值 数据 "文本 框 中 的 内 容 设置 为 想 要 的 首页 ,然后 
单 击 “ 确 认 ” 按 钮 。 

(4) 修改 IE 右键 菜单 

Q@ 打开 注册 表 编 辑 器 ,依次 展开 HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft \ 
Internet Explorer\MenExt。 

@ 选中 含有 恶意 代码 的 IE 右键 菜单 项 ,然后 右 击 , 从 弹出 的 快捷 菜单 中 选择 “删除 ” 菜 
单项 。 


8.4.5 任务 5: 防止 SYN 洪水 攻击 


1. 任务 目标 

SYN 攻击 属于 DoS 攻击 的 一 种 , 它 利用 TCP 协议 缺陷 ,通过 发 送 大 量 半 连接 请 求 消耗 
CPU 和 内 存 资源 。SYN 攻击 除了 影响 主机 外 ,还 危害 路 由 器 、 防 火 墙 等 网 络 系统 。 

SYN 攻击 的 工作 原理 是 当 服 务 器 接收 到 连接 请 求 时 ,服务 器 将 此 请 求 信息 加 入 未 连接 
队列 中 ,并 发 送 请 求 包 给 客户 端 ， 当 服 务 器 未 收 到 客户 端的 确认 包 时 ,将 会 重 发 请 求 包 , 直 
到 超时 , 才 将 该 信息 从 未 连接 队列 中 删除 。 配 合 IP 欺骗 SYN 的 攻击 效果 很 好 。 客 户 端 利 
用 伪装 大 量 不 存在 的 IP 地 址 向 服务 器 不 断 发 送 SYN 包 ,服务 器 回复 确认 包 后 ,等 待 客户 的 
确认 ,因为 源 地 址 是 不 存在 的 ,因此 服务 器 需要 不 断 重 发 直至 超时 。 伪 装 的 SYN 包 长 时 间 
占用 未 连接 队列 ,致使 正常 的 SYN 包 被 丢弃 ,目标 系统 运行 缓慢 ,甚至 处 于 瘫痪 状态 。 

SYN 攻击 不 管 目标 主机 是 什么 系统 ,只 要 这 些 系 统 打 开 了 TCP 服务 就 可 以 实施 。 为 
了 防范 SYN 攻击 ,Windows 2000 以 上 的 版 本 都 在 TCP/IP 协议 内 赔 了 SynAttackProtect 
机 制 ,通过 关闭 某 些 Socket 选项 ,增加 额外 的 连接 指示 并 减少 超时 时 间 , 使 系统 能 处 理 更 多 
SYN 连接 。 但 在 默认 情况 下 ,Windows 并 不 支持 SynAttackProtect 保护 机 制 , 需 要 在 注册 
表 中 做 出 相应 的 修改 才 行 。 


工作 任务 八 注册 表 的 管理 


2. 工作 任务 

防止 SYN 洪水 攻击 。 

3. 工作 环境 

一 台 预 装 Windows Server 2003/XP 的 主机 。 
4. 实施 过 程 


(1) 打开 注册 表 编 辑 器 ,依次 展开 HKEY_LOCAL_MACHINENASYSTEMACurrentControl 
Set\Services\Tcpip\Parameters, 如 图 8-13 所 示 。 


哦 的 电脑 WHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Paramaters 用 


图 8-13 打开 注册 表 编 辑 器 (6) 


(2) 在 右 侧 窗 格 空白 处 右 击 ,然后 从 弹出 的 快捷 菜单 中 单 击 “新 建 DWORD 值 ”, 将 新 
创建 的 DWORD 值 命名 为 SynAttackProtect ,如 图 8-14 所 示 。 


类 型 
REG_SZ 


AttackProt REG_DWORD 
由 鲜 Parameters 3 REG_DWORD 
国 Performance 


,REG_DWORD 
四 securiy 5 
» 


Set\Services\TepiD\Parameters 及 


图 8-14 新建 键 值 项 


(3) 双击 打开 新 创建 的 SynAttackProtect 键 值 项 ,然后 将 “数值 数据 ”文本 框 内 的 数字 
修改 为 *2”, 单 击 “ 确 定 ” 按 钮 保存 ,如 图 8-15 所 示 。 


编辑 DWORD 值 ?|x| 
数值 名 称 加 
Eeesarotect 
数值 数据 0)- 基数 

人 十 六 进 制 0D 
玉 十 进 制 四 


ww | 


8-15 设置 键 值 (2) 


(4) 用 同样 的 方法 创建 6 个 DWORD 键 值 项 ,分 别 是 EnablePMTUDiscovery 键 值 为 0、 
NoNameReleaseOnDemand 键 值 为 1 .EnableDeadGWDetec t 键 值 为 0.KeepAliveTime 键 
值 为 300000、PerformRouterDiscovery 键 值 为 0、EnableCMPRedirect 键 值 为 0。 
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85 常见 问题 解答 


1. 恶意 代码 常 利用 的 注册 表 启 动 项 有 哪些 ? 

答 : 恶意 代码 常 利用 的 注册 表 启 动 项 有 以 下 几 种 。 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run; 

HKEY_CURRENT_USER\SOFTWARE \Microsoft\ Windows\CurrentVersion\RunOnce; 

HKEY _ CURRENT _ USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ 
RunServices; 

HKEY_LOCAL MACHINE\SOFTWARE \Microsoft\ Windows\CurrentVersion\Run; 

HKEY_LOCAL MACHINE\SOFTWARE \Microsoft\ Windows\CurrentVersion\RunOnce; 

HKEY_ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ 
RunServics; 

HKEY_ LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT\ CurrentVersion\ 
Winlogon。 

2. 如 何 利用 注册 表 屏 项 445 端口 ? 

答 : 在 命令 行 窗口 输入 "regedit "命令 ,打开 注册 表 编 辑 器 ,然后 展开 到 HKEY_LOCAL_ 
MACHINE\SYSTEM\ ControlSet\ Services\ NetBT\Parameters, 并 添加 一 个 键 值 ,名 为 
“SMBDeviceEnabled”, 类 型 为 “REG_DWORD”, 值 为 “0”, 修 改 完毕 后 重启 计算 机 即 可 
生效 。 


86 过 关 练 习 


一 、 选 择 题 

在 Windows“ 运 行 " 窗 口中 输入 ( ) 命 令 , 可 以 查看 和 修改 注册 表 。 

A. cmd B. mmce C. autoexe D. regedit 
二 、 简 答题 


如 何 备份 和 还 原 注册 表 ? 


工作 任务 九 
”组 策略 的 设置 


921 用 户 需求 与 分 析 


所 谓 组 策略 ,就 是 基于 组 的 策略 。 它 以 Windows 中 的 一 个 MMSC 管理 单元 的 形式 存 
在 ,可 以 帮助 系统 管理 员 针 对 整个 计算 机 或 者 特定 用 户 来 设置 多 种 配置 ,包括 桌面 配置 和 安 
全 配置 。 通 过 使 用 组 策略 ,用户 可 以 设置 各 种 软件 .计算 机 和 用 户 策略 。 


92 预备 知识 


9.2.1 组 策略 的 作用 


组 策略 是 管理 员 为 计算 机 和 用 户 定义 的 ,用 来 控制 应 用 程序 、 系 统 设置 和 管理 模板 的 一 
种 机 制 。 如 同一 个 庞大 的 数据 库 , 它 保存 着 Windows 系统 中 与 系统 、 应 用 软件 配置 相关 的 
信息 。 随 着 Windows 功能 越 来 越 丰富 ,以 及 用 户 安装 在 计算 机 中 的 软件 程序 越 来 越 多 , 注 
册 表 中 的 相关 信息 越 来 越 多 。 

组 策略 是 修改 注册 表 中 的 配置 的 一 个 有 效 工 具 。 它 使 用 更 加 完善 的 管理 组 织 方法 ,对 
各 种 对 象 中 的 配置 进行 管理 和 设置 , 远 比 手动 修改 注册 表 更 加 方便 、 灵 活 ,功能 更 加 强大 。 
在 注册 表 中 ,很 多 信息 都 是 可 以 由 用 户 自 定义 设 置 的 ,但 这 些 信 息 发 布 在 注册 表 的 各 个 角 
落 , 如 果 是 手动 配置 ,会 非常 困难 和 繁杂 。 而 组 策略 将 系统 重要 的 配置 功能 汇集 成 各 种 配置 
模块 , 供 管理 人 员 直 接 使 用 ,从 而 达到 方便 管理 计算 机 的 目的 。 

组 策略 是 介 于 控制 面板 和 注册 表 之 间 的 一 种 修改 系统 与 设置 程序 的 工具 ,利用 它 可 以 
修改 Windows 的 桌面 .开始 菜单 .登录 方式 组件、 网络 及 IE 浏览 器 等 许多 设置 。 通 常情 况 
下 , 像 一 些 常用 的 系统 .外 观 及 网 络 设置 等 ,用 户 可 以 在 控制 面板 中 修改 ,但 用 户 对 此 并 不 满 
意 ,因为 通过 控制 面板 能 修改 的 设置 太 少 ; 水 平 高 一 点 的 用 户 可 以 用 修改 注册 表 的 方法 来 
设置 ,但 是 注册 表 中 涉及 的 内 容 太 多 ,修改 起 来 不 方便 。 组 策略 正好 介 于 两 者 之 间 ,涉及 的 
内 容 比 控制 面板 多 ,安全 性 和 控制 面板 一 样 高 ,而 条 理性 、 可 操作 性 比 注册 表 强 ,因此 成 为 网 
络 管理 员 管理 系统 的 首选 。 


9.2.2 组 策略 的 打开 方式 
组 策略 的 打开 方式 有 两 种 。 


1. 方式 一 : 使 用 命令 行 
选择 “开始 ”>“ 运 行 ”菜单 项 ,在 “打开 ”下 拉 列 表 文 本 框 中 输入 “gpedit. msc” 命 令 并 按 
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“Enter” 键 ,打开 组 策略 窗口 。 在 该 窗口 的 左边 窗 格 中 ,用 户 可 以 看 到 两 个 选项 , 即 “ 计 算 机 
配置 "和 “用 户 配 置 ”。 


2. 方式 二 : 利用 MMC 控制 台 

MMC 是 Microsoft Management Console 的 缩写 , 它 是 Windows 中 一 个 很 重要 的 系统 
管理 工具 ,组 策略 实际 上 就 是 一 个 预 置 在 Windows 中 的 MMC, 因 此 用 户 可 以 将 其 作为 独 
立 的 MMC 来 打开 。 选 择 “ 开 始 ”>“ 运 行 ” 菜 单项 ,在 “打开 ”下 拉 列 表 文本 框 中 输入 *MMC” 
命令 并 按 “Enter" 键 ,打开 “控制 台 ” 窗 口 , 即 Microsoft 管理 控制 台 。 在 该 窗口 中 选择 “文件 ”下 
“添加 /删除 管理 单元 "菜单 项 ,在 打开 的 “添加 /删除 管理 单元 ”对 话 框 中 切换 到 “独立 ”选项 
卡 , 然 后 单 击 “ 添 加 ”按钮 ,打开 “添加 独立 管理 单元 ”对 话 框 。 可 以 看 到 ,在 “可 用 的 独立 管理 
单元 ?列表 框 中 显示 了 计算 机 中 早已 预 置 好 的 独立 管理 单元 ,找到 并 选中 * 组 策略 对 象 编辑 
器 "选项 ,然后 单 击 “ 添 加 ”按钮 ,如 图 9-1 所 示 。 

打开 “选择 组 策略 对 象 ” 对 话 框 ,默认 情况 下 ,该 组 策略 是 为 本 地 计算 机 设置 的 。 如 果 用 
户 想 为 其 他 计算 机 设置 组 策略 ,可 以 单 击 * 浏 览 "按钮 ,在 打开 的 “浏览 组 策略 对 象 "对 话 框 中 
选择 相应 的 计算 机 。 这 里 保持 系统 默认 设置 ,即使 用 本 地 计算 机 。 选 中 * 当 从 命令 行 开 始 
时 ,允许 更 改组 策略 管理 单元 的 焦点 。 只 有 您 保存 该 控制 台 的 情况 下 ,这 点 才 可 以 起 作用 ” 
复 选 框 。 当 用 户 使 用 命令 行 打 开 “ 组 策略 "窗口 时 ,用 户 可 以 更 改 其 中 的 内 容 。 最 后 单 击 “ 完 
成 ?按钮 ,如 图 9-2 所 示 ,返回 “添加 独立 管理 单元 ”对话 框 。 单 击 “ 关 闭 ” 按 钮 将 其 关闭 并 返 
回 * 添 加 /删除 管理 单元 ”对 话 框 ,可 以 发 现 ,“ 本 地 计算 机 策略 ”选项 被 添加 在 相应 的 列表 框 
中 。 单 击 “ 确 定 ” 按 钮 ,返回 “控制 台 1” 对 话 框 ,此 时 可 以 发 现 打开 了 相应 的 组 策略 管理 
单元 。 


壬 撞 组 策略 对 人 象 区 
欢迎 使 用 组 策略 向 导 本 
添加 独立 管理 单元 Tx 
号 
可 用 的 独立 管理 单元 
管理 单元 供应 商 | 
培 无 问 监 视 器 ierosoft Corpora 下 
二 性 能 日 志和 罕 报 Microsoft Corpore 人 
恕 远程 点 面 Microsoft Corpora. 请 用 “浏览 ”按钮 以 选择 姐 第 略 对 象 。 
证 书 Mierose: 人 Corp 
区 证 书 需 发 机 构 Mierosoft Corpore 
较 下 模板 cross 
外 终端 服务 配置 Mierosoft Corpors. 组 策略 对 象 : 
Nieresoft Corpora. | 
侈 组 件 服 务 Mierosoft Corpors ,. 
描述 


Bi | "Mr 


关闭 加 ) -过 加 | 总 取消 
图 9-1 “添加 独立 管理 单元 ”对 话 框 图 9-2 “选择 组 策略 对 象 " 对 话 框 


注意 : 如 果 因 为 误 操 作 导 致 无 法 通过 第 一 种 方法 进入 组 策略 编辑 器 ,可 以 在 计算 机 重 
启 的 时 候 按 住 F8 键 , 再 选择 带 命令 行 的 安全 模式 ,然后 在 命令 行 窗口 输入 “mmc” 进 入 控制 
台 , 用 户 可 以 更 改 其 中 的 内 容 。 
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93 方案 设计 


方案 设计 如 表 9-1 所 示 。 


任务 名 称 


表 9-1 方案 设计 
组 策略 的 设置 


任务 分 解 


1. 组 策略 的 开机 策略 

(1) 设置 密码 策略 

(2) 设置 账户 锁定 策略 

2. 组 策略 的 安全 设置 

(1) “桌面 "设置 

(2)“ 任 务 栏 "和 “开始 ”菜单 设置 
(3) IE 设置 

(4) Windows 高 级 功能 设置 
3. 系统 的 安全 管理 

(1) 禁止 在 登录 前 关机 

(2) 不 显示 上 次 登录 的 用 户 名 


能 力 目标 


1. 能 设置 密码 策略 

2. 能 设置 账户 锁定 策略 

3. 能 隐藏 桌面 的 系统 图 标 

4. 能 在 退出 时 不 保存 桌面 设置 

5. 能 屏蔽 “清理 桌面 向 导 ” 功 能 

6. 能 设置 满足 需要 的 “任务 栏 " 和 “开始 "菜单 
7. 能 禁止 系统 “注销 ”和 “关机 ” 

8. 能 用 组 策略 保护 个 人 文档 隐私 

9. 能 禁用 网 页 的 “新 建 ”、“ 在 新 窗口 中 打开 ”等 功能 
10. 能 限制 下 浏览 器 的 保存 功能 

11. 能 禁用 IE 的 “Internet 选项 ”控制 面板 
12. 能 禁止 修改 IE 浏览 器 的 主页 

13. 能 自 定义 正 工具 栏 

14. 能 实现 远程 关机 

15. 能 隐藏 “我 的 电脑 ”中 指定 的 驱动 器 

16. 能 防止 从 “我 的 电脑 ”访问 驱动 器 

17. 能 禁止 设置 “文件 夹 选 项 ” 

18. 能 防止 访问 控制 面板 ,或 禁用 “添加 /删除 程序 ” 
19. 能 禁止 使 用 命令 提示 符 

20. 能 禁止 使 用 注册 表 编 辑 器 

21. 能 限制 使 用 应 用 程序 

22. 能 禁止 在 登录 前 关机 

23. 能 不 显示 上 次 登录 的 用 户 名 


知识 目标 


. 熟悉 组 策略 的 作用 
. 掌握 组 策略 的 打开 方式 


素质 目标 


于 

2 

1. 树立 较 强 的 安全 节约 、 环 保 意 识 

2. 具有 可 持续 发 展 能 力 

3. 培养 良好 的 职业 道德 

4. 掌握 网 络 安全 行业 的 基本 情况 

5. 培养 职业 兴趣 ,以 及 爱 岗 敬业 、 热 情 主动 的 工作 态度 
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94 任务 实施 


9.4.1 任务 1: 组 策略 的 开机 策略 


1. 任务 目标 
用 户 可 以 使 用 组 策略 来 对 开机 进行 设置 ,以 使 自己 的 计算 机 和 隐私 更 加 安全 、 可 靠 。 


2, 工作 任务 
(1) 设置 密码 策略 ; 
(2) 设置 账户 锁定 策略 。 


3. 工作 环境 
一 台 预 装 Windows Server 2003/XP 的 主机 。 


4, 实施 过 程 

(1) 设置 密码 策略 

密码 是 用 户 登 录 到 系统 的 赁 证。 网络 中 存在 一 些 别 有 用 心 的 人 ,总 是 想 尽 方法 以 各 种 
手段 来 破解 用 户 密码 ,以 达到 不 可 告 人 的 目的 。 密 码 起 着 比 用 户 账号 更 加 重要 的 作用 。 设 
置 密码 策略 的 步骤 如 下 : 

Oz 选择 “开始 ”运行 ?菜单 项 ,输入 “gpedit. msc” 后 按 “Enter” 键 ,打开 “组 策略 ”窗口 。 
在 该 窗口 中 依次 展开 “计算 机 配置 ">“Windows 设置 ”一 安全 设置 ?一 账户 策略 -一 密码 
策略 ”, 用 户 可 以 在 右边 窗 格 中 看 到 6 个 账户 锁定 策略 选项 ,分 别 是 “密码 必须 符合 复杂 性 要 
求 ”"“ 密 码 长 度 最 小 值 ”"“ 密 码 最 长 使 用 期 限 ”"“ 密 码 最 短 使 用 期 限 ”“ 强 制 密码 历史 ”和 “用 
可 还 原 的 加 密 来 存储 密码 ”, 如 图 9-3 所 示 。 
i 组 策略 编辑 器 


文件 四 指 作 Q) 查看 帮助 0D 
生字 | 白 加 | 图 | 欠 


强制 密码 历史 
必用 可 还 原 的 加 密 厅 储存 密码 


NR 


I EE 
9-3 “密码 策略 ”设置 
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@ 用 户 可 以 双击 密码 策略 选项 ,打开 相应 的 属性 对 话 框 , 设 置 属性 值 。 例 如 ,双击 * 密 
码 长 度 最 小 值 密 码 策略 选项 ,然后 设置 数值 ,如 图 9-4 所 示 。 
| 
本 地 安全 设置 | 


Ee 密码 长 度 最 小 值 


罕 友 必须 至 少 是 - 
肠 ” 当 1 


mm | sw | 
图 9-4 “密码 长 度 最 小 值 属性 ”对 话 框 


表 9-2 中 列 出 了 这 6 个 密码 策略 选项 的 说 明 。 
表 9-2 密码 策略 选项 说 明 
密码 策略 说 明 


启用 该 策略 ,密码 必须 满足 : 

(1) 不 包含 全 部 或 部 分 的 账户 名 ， 

密码 必须 符合 复杂 性 要 求 (2) 长 度 至 少 为 6 个 字符 ; 

(3) 包含 英文 大 写字 母 ,英文 小 写字 母 ,基本 数字 和 非 字母 字符 中 的 3 类; 
(4) 更 改 或 创建 密码 时 ,会 强制 执行 复杂 需求 


密码 长 度 最 小 值 1 一 14, 若 设置 为 “0”, 表 示 不 需要 密码 

密码 最 长 使 用 期 限 1 一 999 , 若 设置 为 "0”, 表 示 密 码 永 不 过 期 
密码 最 短 使 用 期 限 1 一 999 , 若 设置 为 "0”, 表 示人 允许 立即 更 改 密码 
强制 密码 历史 0 一 24 ,确保 旧 密 码 不 能 继续 使 用 


用 可 还 原 的 加 密 来 存储 密码 | 除非 应 用 程序 有 比 保护 密码 信息 更 重要 的 要 求 ,否则 不 必 启 用 该 策略 


(2) 设置 账户 锁定 策略 

在 默认 情况 下 ,用 户 在 登录 界面 可 以 有 很 多 次 输入 无 效用 户 账号 和 密码 的 机 会 ,这 也 为 
使 用 字典 攻击 的 网 络 攻击 者 提供 了 快速 破解 用 户 账 号 和 密码 的 机 会 ,从 而 给 用 户 的 权益 带 
来 损害 。 为 了 解决 这 一 问题 ,用 户 可 以 使 用 组 策略 设置 账户 锁定 策略 ,将 非法 用 户 阻挡 在 系 
统 之 外 。 系 统 的 Administrator 账户 即 超级 管理 员 账 户 不 会 因为 账户 锁定 策略 的 设置 而 被 
锁定 。 设 置 账号 锁定 策略 的 具体 操作 如 下 : 

Q@ 选择 “开始 ”一 “运行 ”菜单 项 ,输入 “gpedit. msc” 后 按 “Enter” 键 ,打开 “组 策略 ” 
窗口 。 

@ 在 该 窗口 中 依次 展开 “计算 机 配置 ">“Windows 设置 ”>“ 安 全 设置 >“ 账户 策略 ”一 
“账户 锁定 策略 ”, 用 户 可 以 在 右边 窗 格 中 看 到 3 个 账户 锁定 策略 选项 ,分 别 是 “复位 账户 锁 
定 计数 器 *”“ 账 户 锁定 时 间 ” 和 “账户 锁定 阅 值 ”, 如 图 9-5 所 示 。 

@ 双击 “账户 锁定 阅 值 ”选项 ,打开 “账户 锁定 阅 值 属性 ?对 话 框 。 默 认 情 况 下 ,账户 为 
不 锁定 状态 ,用 户 可 以 根据 自己 的 实际 情况 进行 设置 (下 限 为 0, 代表 账户 不 设置 锁定 状态 ; 
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ET =|9x| 

文件 加， 操作 @) 查看 帮助 中 

EECIESE TIE 

可 "本地 计算 机 ” 生 喇 

日 国 计算 了 置 ETTRORTEE 不 适用 
四 欢 件 设置 辆 账户 镇定 时 间 不 适用 


日 国 Windows 设置 账户 锐 定 | 0 次 无 效 
RE /| 
安全 设置 


日 
日 的 账户 第 略 


三 | 外 | ol 
图 9-5 “账户 锁定 策略 ”设置 
上 限 为 999 次 , 即 经 过 999 次 无 效 输 入 以 后 ,账户 被 设置 为 锁定 状态 ) 。 


@ 例如 设置 成 3 次 ,然后 单 击 “ 应 用 ”按钮 ,将 弹出 “建议 的 数值 改动 "对 话 框 。 单 击 “ 确 
定 ” 按 钮 后 ,其 他 两 个 策略 选项 的 数值 会 自动 被 设置 为 被 建议 的 数值 ,如 图 9-6 所 示 。 


到 
加 账户 锁定 周 值 的 数值 现在 是 3 次 无 效 登录 ,下 列 项 目的 设置 都 会 改 成 建议 的 数 


复位 账户 镇 定 计数 器 不 适用 30 分 钟 之 后 
较 账 户 锌 定时 间 不 适用 30 分 钟 
4 S| 
me | 


图 9-6 “建议 的 数值 改动 ”对话 框 


如 果 用 户 不 慎 忘 记 了 登录 的 用 户 名 和 密码 ,可 以 在 进入 登录 界面 时 按 下 Ctrl 十 Alt 十 
Delete 组 合 键 ,启用 Administrator 账户 来 登录 系统 。 


9.4.2 任务 2: 组 策略 的 安全 设置 


1. 任务 目标 
用 户 可 以 使 用 组 策略 设置 开机 ,使 自己 的 计算 机 和 隐私 更 加 安全 ,可靠 。 


2; .工作 任务 

(1)“ 桌 面 ? 设 置 ; 

(2)“ 任 务 栏 " 和 “开始 ”菜单 设置 ; 
(3) IE 设 和 置 ; 

(4) Windows 高 级 功能 设置 。 


工作 任务 九 组 策略 的 设置 


3. 工作 环境 
一 台 预 装 Windows Server 2003/XP 的 主机 。 


4. 实施 过 程 

(1)“ 桌 面 ? 设 置 

Windows 的 桌面 就 像 我 们 的 办 公 桌 一 样 ,需要 经 常 整理 和 清洁 ; 组 策略 就 如 同 我 们 的 
贴身 秘书 ,让 桌面 管理 工作 变 得 易如反掌 。 

位 置 : 组 策略 控制 台 一 用 户 配置 -管理 模板 一 桌面 。 

@ 隐藏 桌面 的 系统 图 标 (Windows 2000/XP/2003) 

虽然 通过 修改 注册 表 的 方式 可 以 实现 隐藏 桌面 上 的 系统 图 标的 功能 ,但 这 样 比较 麻烦 
也 有 一 定 的 风险 。 采 用 组 策略 配置 的 方法 ,可 以 方便 ,快捷 地 达到 此 目的 。 

比如 要 隐藏 桌面 上 的 “网 上 邻居 ”和 “Internet Explorer” 图 标 , 只 要 在 右 侧 窗 格 中 将 “ 隐 
藏 桌面 上 “网 上 邻居 ?图 标 ” 和 "隐藏 桌 面 上 的 Internet Explorer 图 标 ” 两 个 策略 选项 启用 即 
可 ,如 图 9-7 所 示 。 


文件 到 ) ”操作 查看 Q) 才 助 9) 
生 过 | 碧 加 | 国 毗 | 加 


脱衣 点 而 上 “同上 丢 居 ”图 标 
号 示 脂性 


要 求 
于 Mierosoft Vindows 2000 


久 从 “我 的 文档 ”上 下 文京 单 中 删除 “属性 ” 未 被 配置 


该 时 影响 上 而 图 慰 。 不 全 防止 用 “合作 “我 的 电 乃 ”上 下 文 薪 单 中 到 除 “ 慰 性 " 
ont [ea 一 

隐 关 上 而 上 的 I rer 图 标 

命 要 插 贡 打开 的 文档 的 共享 大 加 到 “同上 彼 届 ” 未 补 甩 轩 
禁止 用 户 更 下 “我 的 文 区" 路 径 未 该 甩 轩 
本 止 添加 、 撞 、 放 和 关闭 任务 栏 的 工具 栏 未 被 且 轩 
某 用 调整 上 面具 栏 未 被 配置 

岛 i 出 时 不 保存 羽生 未 该 甩 轩 

岛 中 洁 理 点 面 导 未 被 也 轩 


到 \# 民 人 看 J 


| 
9-7 “隐藏 桌面 上 “网 上 邻居 ?图 标的 策略 设置 


如 果 要 隐藏 桌面 上 的 所 有 图 标 , 只 要 启用 “隐藏 和 禁用 桌面 上 的 所 有 项 目 ”* 即 可 。 当 启 
用 了 “删除 桌面 上 的 “我 的 文档 * 图 标 ” 和 “删除 桌面 上 的 “我 的 电脑 图标” 两 个 选项 以 后 ,“ 我 
的 电脑 “和 “我 的 文档 ”图 标 将 从 计算 机 桌面 上 消失 ; 同样 ,如 果 要 让 “回收 站 ”图 标 消失 ,只 
需 启 用 “从 桌面 删除 回收 站 ”策略 选项 。 

@ 退出 时 不 保存 桌面 设置 (Windows 2000/XP/2003) 

此 策略 可 以 防止 用 户 保存 对 桌面 的 某 些 更 改 。 如 果 启 用 这 个 策略 ,用 户 仍 然 可 以 对 桌 
面 做 更 改 , 但 有 些 更 改 , 如 图 标的 位 置 、 任 务 栏 的 位 置 及 大 小 ,在 用 户 注销 后 都 无 法 保存 ,不 
过 任务 栏 上 的 快捷 方式 可 以 被 保存 。 

在 右 侧 窗 格 中 启用 “退出 时 不 保存 设置 "策略 选项 ,如 图 9-8 所 示 。 
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mm 组 策略 帝 符 置 lolxl 
文件 四， 拘 作 多， 可 看 外 帮助 
条 坟 | 四 | 因 | 加 区 | 外 


可 二 弛 看 栅 ” 征 喇 
中- 国 计 和 机 本 年 


审 国 次 件 设置 退出 时 不 保存 设置 | # | 
Mctive Desktop 
显示 性 性 Active Directory 

-中 要 求 伺 隐 麻 和 茜 用 点 面 上 的 所 有 项 目 未 被 配置 
BD Mindors icrosoft Yindows 仿 贡 了 面 上 的 “我 向 文科 ” 轩 标 趟 WP 二 
中 Ez Et Vindows 2000 名 < 的 电 及 ”图标 未 基本 
证 外 Yinams 钥 件 关注 访 人 上 盏 遇险 瑟 收 站 未 六 也 置 
任务 栏 和 「 开 始 」 菜 让 防止 用 户 保 存 对 店面 的 要 台 更 疏 。 人 “我 的 文 簿 ”上 下 文 菜 车 中 英 际 “ 腻 性 ” 未 该 配置 
从 “我 的 电脑 ”上 下 文帝 单 中 表 除 “ 剧 性 ” 未 入 配置 
etive Desktop | 关 总 各 内 党 从 时 二 内 种 同 看。 售 B “加 以 站 ”上 下 文京 划 的 民 考 未 计 包 和 
国 hetive Direetery| 标 和 打开 窗口 的 应 置 、 任 务 栏 的 位 置 ”全 陪床 点 面 上 “同上 种 居 "” 图标 未 被 配置 
本 回 控制 面板 及 大 小 下 用 户 注销 后 必 无 法 保存 。 不 仿 随 这 旧 面 上 的 Internet Exylorer 图 标 未 被 配置 
国共 训 文 件 交 过 任务 疡 上 的 块 提 方 式 名 可 以 被 保 。 鲍 不 要 格 最 近 打 开 的 文档 的 共享 添加 到 “网 上 祁 届 ” 未 六 配置 
昌 生 网络 存 . 全 禁止 用 户 更 疏 “ 委 的 文档 " 趾 径 未 被 配置 
相 眉 了 禁止 琴 加 、 抗 、 故 和 关闭 任 各 栏 的 工具 栏 未 被 配置 
仿 禁用 调整 各 面 工具 蔗 未 该 孔 填 


9-8 “退出 时 不 保存 设置 ”的 策略 设置 


@ 屏蔽 “清理 桌面 向 导 ” 功 能 (Windows XP/2003) 

“清理 桌面 向 导 ” 会 每 隔 60 天 自动 在 用 户 的 计算 机 上 运行 ,以 清除 那些 不 经 常 使 用 或 
者 从 不 使 用 的 桌面 图 标 。 如 果 启用 此 策略 设置 ,可 以 屏蔽 “清理 桌面 向 导 ”; 如 果 禁 用 或 不 
配置 此 设置 ,“ 清 理 桌 面向 导 ” 会 按照 默认 设置 每 隔 60 天 运行 一 次 。 

打开 右 侧 窗 格 中 的 “删除 清理 桌面 向 导 ”, 根 据 需 要 设置 策略 选项 ,如 图 9-9 所 示 。 


FETTTTOEEE  - 吕 攻 
文件 中 铭 作 Q) 查看 如 帮助 中 | 
和 二 | 四 加 | 加 加 | 国 | 

ET 
i 

由 -和 国 凌 设置 共 放 
用 国 inaows 设置 ee | hctive Desktop 
而 es 显示 屋 性 hctive xireetey 
可 罗 霹 隐 次 和 禁用 点 面 上 的 所 有 项 目 未 WP 置 
生生 indo 设 品 ioowe ua 全 上 面 上 的 “有 的 广 村 "图 怀 二 
日 国 管理 模板 Professional Windows Server 贡 除 复 面 上 的 “我 的 电脑” 图 标 未 被 辽 置 
生前 Wisdoms 组 位 2009 计谋 合 人 扣 面 BR 让 玫 WB 秆 
四 任 名 和 [开始 | 来 || og 信人 “ 攻 的 文档 ”上 下 广 容 单 中 册 辽 “ 展 性 ” 未 入 配置 
日 与 硕 面 合作 “我 的 电脑 "上下文 过 单 中 用 路 “习性 ” 本科 村 轩 
四 itive na | SR WEANS. 入 8 “加 Ki" 上 下 文理 的 尿 性 未 0 轩 
ed er rr ee 
四 会 每 驻 60 天 自 Tatemat Rrplerer 
生 共享 文件 夹 上 上 到 行 。 用户 也 不 能 全 用 洁面 | 全 不要 桂 二 打开 的 六 人 的 共 本 0 “网 上 4 必 ” 未 年 
$s A 入 本 上 用 户 更 疏 “ 叶 的 文档 " 路 征 未 窟 了 轩 
a 加 果 修 禁用 于 不 配 轩 此 设置 ,清理 | 倒 某 目 洒 加 、 指 、 帮 和 关闭 任务 栏 的 工具 栏 未 匀 配 轩 
贞 面 和 导 会 报时 认 行为 每 搞 60 | 倒车 油 束 扣 面 I 具 栏 下 实 了 a 
运行 一 次 。 退出 时 不 保存 汉 轩 未 访 配置 
注意 : 如 果 该 设置 没有 被 所用 ,用 加 加 
户 可 以 运行 清理 复 面向 导 或 在 
Cer tne 
HH | HN\sRAW/ 
L 


图 9-9 “删除 清理 桌面 向 导 ” 的 策略 设置 


以 上 介绍 了 几 个 关于 桌面 的 组 策略 配置 项 目 ,在 “组 策略 控制 台 ”>“ 用 户 配 置 ">“ 管 理 
模板 ”>“ 桌 面 * 下 还 有 其 他 若干 组 策略 配置 项 目 , 可 根据 需要 来 配置 ,这 里 不 青 袭 述 。 

(2)“ 任 务 栏 > 和 “开始 ”菜单 设置 

位 置 : 组 策略 控制 台 一 用 户 配置 -> 管 理 模板 一 任务 栏 和 开始 菜单 


工作 任务 九 ”组 策略 的 设置 


“开始 ”菜单 设置 
如 果 觉 得 Windows 的 “开始 ?菜单 太 腾 肿 ,可 以 将 不 需要 的 菜单 项 从 * 开 始 ? 菜 单 中 删 


除 。 例 如 ,要 从 


“开始 ”菜单 中 删除 “我 的 文档 "图标, 启动 相应 的 策略 即 可 ,如 图 9-10 所 示 。 


组 策略 乞 辑 器 /olxl 


文件 四 ” 损 作 


多 碍 看 四 帮助 加 


中 | 帮 | 加 | 包罗 | 久 


从 「 开 始 】」 菜单 中 日 除 “ 委 的 文 
若 ” 图 标 

显示 攻 性 

要 求 

至 少 icrosoft Windows 2000 
措 述 : 

从 『 开 骆 」 药 单 中 吕 且 “我 的 文档 ” 
图 标 和 子 菜单 项 。 


证 设置 公 册 除 图 标 。 不 防止 用 户 使 用 
RI “ 的 文档 ”文件 到 的 
内 容 


x 1 龟 人 [开始 」 桨 单 中 删除 “ 委 的 音 忒 " 图 标 未 被 配置 
人 从 [ 开 好 ] 加 音 中 芭 队 “同上 人 居 " 未 六 配置 
将 “注册 ”添加 到 [开始 」 保单 未 以 配置 
另外 ， 请 看“ 从 点 面 上 月 院 “我 的 文 。 仿 各 Bt 开始 」 陈 单 的“ 注册" 来 配置 
藻 ” 图 味 ”设置 。 开明 止 沪 问 “关机 ”命令 未 说 配 置 

多 现 了 [开始 | 获 昌 上 的 拖 改 上 下 文理 未 法 

HR 


9-10 “从 [开始 | 菜单 中 删除 “我 的 文档 图标” 的 策略 设置 


在 组 策略 右 侧 窗 格 中 ,提供 了 “从 [开始 」 菜 单 删 除 用 户 文件 夹 ”" “删除 到 “Windows 
Update ”的 访问 和 链接 "“ 从 [开始 ] 菜 单 删除 公用 程序 组 "“ 从 [开始 ] 菜 单 中 删除 我 的 文 
档 ? 图 标 ? 等 多 种 组 策略 配置 项 目 。 只 要 将 不 需要 的 菜单 项 所 对 应 的 策略 启用 即 可 。 

@“ 任 务 栏 5 和 “开始 ?菜单 设置 

如 果 不 想 随 意 让 他 人 更 改 “ 任 务 栏 2 和" 开始? 菜单 的 设置 ,只 要 将 组 策略 控制 台 右 侧 窗 


格 中 的 “阻止 更 
项 启用 即 可 ,如 


改 ' 任 务 栏 和 [开始 | 菜单 设置" 和 “阻止 访问 任务 栏 的 上 下 文 菜单 ”两 个 策略 
图 9-11 所 示 。 


由 国 indors 设置 
白 - 国 管理 模板 


关闭 用 户 跟 踪 未 被 配 j 
鱼 村 “在 单独 的 内 存 宝 间 运 行 ” 复 选 框 添加 到 “运行 ”对 话 栓 未 被 本 4 
岛 解 析 外 运程 序 快捷 方式 时 不 要 使 用 搜索 方法 未 被 本 


便捷 析 外 志和 经 育 忆 幸 方 地 时 不 要 个 用 跟 昱 方法 


I I FIsl vl: 
图 9-11 “阻止 更 改 “ 任 务 栏 和 [开始 | 菜单 ?设置 "的 策略 设置 
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这 样 , 当 右 击 任务 栏 并 单 击 “属性 ?时 ,系统 会 出 现 一 个 错误 消息 , 且 当 右 击 任务 栏 及 任 
务 栏 上 的 项 目 时 ,例如 “开始 ”按钮 .时 钟 和 “任务 栏 ”按钮 ,弹出 菜单 会 隐藏 。 

@ 禁止 “注销 ”和 “关机 ”(Windows 2000/XP/2003) 

当 计 算 机 启动 以 后 ,如 果 不 希 望 这 个 用 户 再 进行 “关机 ”和 “注销 ”操作 ,那么 可 将 组 策略 
控制 台 右 侧 窗 格 中 的 “删除 开始 菜单 上 的 “注销 ”” 和 “删除 和 阻止 访问 “关机 ’ 命 令 ” 两 个 策略 
启用 ,如 图 9-12 所 示 。 


i 租 策略 篇 和 器 EF 
交 件 四。 所作 和 查看 中 帮助 吕 
ee | 外 国 | 咖 名 1 多 


则 除 和 阴 止 访问 “关机 ”命令 


[开始 | 菜单 中 划 除 “ 收 塞 严 ”菜单 
显示 性 性 [开始 ] 菜单 中 其 除 “搜索 " 茶 单 


[开始 | 菜单 中 删除 “运行 ” 菜单 
[开始 | 某 单 中 划 除 “图 片 收 乔 ” 图 标 
描述 : 上 [开始 | 菜单 中 删除“ 我 的 音乐 ”图 慰 
防止 用 户 关闭 或 重新 启动 [开始 | 菜单 中 其 除 “ 同 上 邻居 ”图 标 
Viadowse “注销 ”添加 到 [开始] 豆单 


要 求 
至 少 Microsoft Windovs 2000 


这 个 设置 会 人 tit 和 
选项 ， 并 药 用 “! 


安全 性 ”对 话 杠 中 的 上 的 抱 族 ， 菜单 

EC ER A rr “任务 栏 和 「 开 始 ] 设置 
全 阻止 访问 性 务 栏 的 上 下 文 沫 间 

这 个 设置 可 防止 用 记 用 Windors 用 不 要 保留 是 近 打 开 文 档 的 记录 

尸 界面 来 关机 ， 但 无 法 防 目 用 户 用 浏 退出 时 清除 景 近 打 开 的 文档 的 记录 

程序 来 格 Windows 关闭 。 


加 果 修 禁用 对 不 设置 这 个 第 略 ， 
“关机 ”选项 会 出 现 ， 而 且 “ 基 
所 六 过 徊 出 全 记 国 

加 入 # 展 


六 用 户 限 中 
出 将 “在 单 狐 的 内 存 空间 运行 ” 复 选 框 关 加 到 “运行 ”对 话 框 


图 9-12 “删除 和 阻止 访问 “关机 ?命令 ”的 策略 设置 


这 个 设置 会 从 “开始 "菜单 删除 “关机 ”选项 ,并 禁用 “Windows 任务 管理 器 ”对 话 框 , 按 
Ctrl 十 Alt 十 Delete 组 合 键 ,会 出 现 这 个 对 话 框 中 的 “关机 ”选项 。 此 设置 虽然 可 防止 用 户 用 
Windows 界面 来 关机 ,但 无 法 防止 用 户 用 其 他 第 三 方 工 具 程 序 关 闭 Windows。 

值得 注意 的 是 ,如 果 启 用 了 “删除 开始 菜单 上 的 “注销 '” 选 项 ,会 从 “开始 菜单 选项 ”删除 
“显示 注销 ”项 目 。 用 户 无 法 将 “注销 二 用 户 名 二 ”项 目 还 原 到 “开始 ”菜单 ,只 能 通过 手动 修 
改 注册 表 的 方法 实现 。 这 个 设置 只 影响 “开始 ?菜单 ,不 影响 “Windows 任务 管理 器 ”对话 
框 上 的 “注销 ”项 目 ,因此 需要 同时 启用 “删除 和 阻止 访问 “关机 ?命令 ,并 且 不 妨碍 用 户 用 其 
他 方法 注销 。 

@ 用 组 策略 保护 个 人 文档 隐私 (Windows 2000/XP/2003) 

Windows 有 个 高 级 智能 功能 ,记录 用 户 曾经 访问 过 的 文件 。 虽然 这 个 功能 可 以 方便 用 
户 再 次 打开 该 文件 ,但 出 于 安全 和 性 能 的 考虑 (例如 ,不 想 让 人 知道 自己 浏览 过 哪些 网 页 和 
打开 过 哪些 文件 ), 有 时 需要 屏蔽 此 功能 。 利 用 组 策略 ,只 要 在 右 侧 窗 格 中 启用 “不 要 保留 最 
近 打 开 文档 的 记录 ”和 “退出 时 清除 最 近 打 开 的 文档 的 记录 ”两 个 策略 即 可 ,如 图 9-13 所 示 。 

另外 ,如 果 启 用 此 策略 设置 但 不 启用 “从 开始 菜单 中 删除 文档 菜单 "策略 设置 “文档” 菜 
单 还 会 出 现在 “开始 "菜单 上 ,但 是 该 菜单 为 空 菜单 。 如 果 启 用 此 策略 设置 ,后 来 又 禁用 它 并 
将 它 设 置 为 “未 配置 ”", 则 启用 策略 设置 之 前 保存 的 文档 快捷 方式 会 重新 出 现在 “文档 "菜单 
和 应 用 程序 的 “文件 ”菜单 中 。 


工作 任务 九 组 策略 的 设置 


"Th 租 策略 编 汉 器 =/9lx| 


文件 四 操作) 查看 避 帮助 0D 


| 和 + | 和 外国 甸 加 |@ 


和 操 任务 栏 和 [开始 | 菜单 


退出 时 清除 最 近 打 开 的 文 着 的 记录 设置 | 状态 a 
到 但 从 [开始 | 菜单 中 基 除 “ 收 产 天 " 菜单 未 被 辽 置 
显示 属性 全 从 [开始 ] 菜单 中 抽 B “搜索 ” 某 音 未 被 配置 
i 全 从 [开始 | 条 单 到 除 “ 帮 助 ”全 人 未 管 卫 轩 
至 少 Wierosoft Windows 2000 他 从 「 开 晤 | 荣 单 中 二 内 “运行 ”保单 未 被 配置 
入 作 [开始] 荣 单 中 其 了 “图 片 收 总 ”图 标 未 被 配置 
搓 述 鱼 从 [开始] 菜单 中 有 除 “我 的 音乐 ” 图标 未 被 辽 置 
退出 系统 对 清除 时 近 打开 的 文档 的 “| 馈 从 [开始 | 菜单 中 旭 除 “同上 邻居 ”图标 未 被 配置 
历史 。 [和 *“ 注 峭 ” 添加 引 [开始 | 菜单 未 狼 配 置 
由 基本 全 其 除 [开始 | 荣 单 上 的 “注销 ” 未 被 辽 置 

- 衣 在 篇 8 和 阻止 访问 “关机 ” 命令 未 被 也 置 ”一 | 
用 户 登 录 时 ， [开始 ] 荣 单 上 的 其 x [开始 | 茶 单 上 的 拖 放 上 下 文 荣 单 未 管 配置 
“文档 ” 采 单 包 是 空 的 - 阻止 更 六 “任务 栏 和 [开始 | 荣 单 ”设置 未 被 配置 
人 鲁 阻 止 访 问 任 名 栏 99. 上 下 文 菜单 未 被 辽 置 
站 未 了 


时 的 “文档 ”订单 首 直 不 与 用 记 进 
出 系统 时 完全 相同 。 


注意 : 肥 统 在 Systen- 
ee 4 


9-13 “退出 时 清除 最 近 打开 的 文档 的 记录 ”的 策略 设置 


(3) IE 设置 

微软 的 Internet Explorer 让 我 们 可 以 轻松 地 在 互联 网 上 邀 游 , 但 要 想 用 好 Internet 
Explorer, 必 须 将 它 配置 好 。 在 正 浏览 器 的 “Internet 选项 窗口 中 提供 了 比较 全 面 的 设置 
选项 ,例如 “首页 ”“ 临 时 文件 夹 ”"“ 安 全 级 别 ”" 和 “分 级 审查 "等 项 目 , 但 部 分 高 级 功能 没有 
提供 ,通过 组 策略 可 轻松 实现 这 些 功 能 。 

位 置 : 组 策略 控制 台 一 用 户 配置 -管理 模板 Windows 组 件 习 Internet Explorer( 需 添 
加 inetres. adm 模板 文件 ) 

Q@ 禁用 “在 新 窗口 中 打开 ”菜单 项 

出 于 对 安全 的 考虑 ,有 时 候 有 必要 屏蔽 IE 的 一 些 功 能 菜单 。 组 策略 提供 了 丰富 的 设置 
项 目 , 比 如 禁用 “另存 为 .….”、“ 文 件 ”“ 新 建 "等 。 下 面 以 “禁用 “在 新 窗口 中 打开 ’ 菜 单项 ”为 
例 介绍 具体 的 设置 方法 。 

打开 “组 策略 控制 台 ” 一 “用 户 配 置 " 一 “管理 模板 ”一 “Windows 组 件 ” 一 “Internet 
Explorer”>“ 浏 览 器 菜单 ”, 然 后 打开 “禁用 “在 新 窗口 中 打开 ’ 菜 单项 ”并 设置 为 “启用 ”, 如 
图 9-14 所 示 。 

启用 该 策略 后 ,用 户 在 某 个 链接 上 碳 击 ,然后 单 击 “在 新 窗口 中 打开 ?时 ,该 命令 将 不 起 
作用 。 该 策略 可 与 “文件 "菜单 : 禁用 “新 建 " 菜 单项 "一 起 使 用 ,后 者 禁止 用 户 通 过 单 击 “ 文 
件 ” 菜 单 指向 “新 建 ”, 然 后 单 击 “窗口 "在 新 窗口 中 打开 浏览 器 。 

注意 : 启用 该 策略 后 , 单 击 “在 新 窗口 中 打开 ”命令 ,将 无 法 在 新 窗口 中 打开 链接 ,系统 
会 提示 用 户 该 命令 无 效 , 网 页 自动 打开 的 窗口 也 全 部 被 禁止 ,也 达到 了 屏蔽 弹出 广告 窗口 的 
效果 。 

@ 限制 下 浏览 器 的 保存 功能 

在 使 用 IE 浏览 网 页 的 过 程 中 , 当 遇 到 好 的 图 片 文章 等 资源 时 ,可 以 使 用 "另存 为 ”功能 
将 它 保 存 到 本 地 硬盘 中 。 当 多 人 共用 一 台 计 算 机 时 ,为 了 保持 硬盘 的 整洁 ,需要 对 浏览 器 的 
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而 担 策 咯 输 震 器 3 本 -Ialx] 
文件 如 换 作 色 ) 下 看 帮助 如 
叶 | 全 | 四 | 狠 民 | 岛 
号 “二 地 计算 机 ”策略 
日 - 国 计算 机 配置 
| 禁用 “在 新 窗口 中 打开 ” 六 单项 
ne 到 龟 “ 文 件 ” 识 单 繁 用 “另存 为 ”来 单 项 未 被 有 置 
人 时 示 屋 性 售 “文件 "床单 . 茜 用 “新诗 ” 某 革 项 未 调和 Re 重 
匀 鸭 件 设 秆 要 下 角 “ 文 件 ” 荣 单 全 用 “打开 ”菜单 项 未 被 配置 
司 Yindows 设置 至 少 Internet Bxplerer ¥5.01 多 “文件 ”区 单 - 村 用 另存 为“ 阿 页 ,全 部” 格式 未 被 配置 
日 习 管理 全 俩 “文件” 厅 单 ， 权 用 关 问 浊 光 器 和 认 尖 和香 器 军品 未 访 配 轩 
白 国 Yindovs 蝶 件 描述 饼 “ 查 看 ” 琳 单 茜 用 “ 源 文 件 ”菜单 项 未 被 也 置 
和 外国 Wetleetine 茜 止 使 用 快捷 菜单 在 新 容 口 中 打开 | 岛 “查看 "” 荣 单 - 蔡 用 “全 屏 显示 ”菜单 项 未 被 配置 
BE Internet Explorer 链接 i “ 收 豪 天 ” 荣 间 未 该 且 置 
国 fateraet 控制 面板 这 人， “工具 ” 哥 单 本 用 “Internet 选项 "和 单项 未 六 有 时 
国 脱 机 页 拓 5 | 倒 “ 和 帮助 ” 菜单、 各 际 “每 日 提示 ” 京 单 项 未 被 配置 
ED “在 新 窗口 中 打开 ”时 ， 读 命令 桂 | 仿 “帮助 ”菜单 到 除 "Netscwpe 用 户 " 菜单 项 未 六 有 轩 
加工 上 EE 不 起 作用 。 篇 “ 丙 助 ”菜单 开除 “ 温 六 ” 菜单 选项 未 被 也 置 
国 持 综 行 为 四 | 全 “和 大助 ” 琳 单 要 除 “ 发 送 反 饶 意见 ” 茉 单 项 未 被 配置 
aie 人 上 下 广 未 和 
鲍 应 用 程序 项 容 性 浏览 器 窗 口中 打开 网 页 命 村 用 “在 新 钱 口 中 打开 ” 茶 单 项 Er 
国 帮助 和 支持 中 心 鱼 季 用 “ 持 识 得 序 保存 到 辜 委 "选项 未 恋 配 置 
是 Winiors 站 和 3 二 


图 9-14 “禁用 “在 新 窗口 中 打开 ?菜单 项 ”的 策略 设置 


保存 功能 进行 限制 。 那 么 如 何 才 能 实现 呢 ? 可 以 这 样 操作 : 打开 “组 策略 控制 台 ”> “用户 
配置 ”一 “管理 模板 ”一 ee 组 件 ”>“Internet Explorer”>“ 浏 览 器 菜单 ”, 然 后 将 右 侧 
窗 格 中 的 “文件 菜单 : 禁用 另存 为 ... "菜单 项 ”“ “文件 菜单 : 禁用 另存 为 网 页 ,全 部 ， 
格式 ”查看 "菜单 : 禁用 “ 源 文件 菜单 项 ”和 “禁用 上 下 文 菜单 "等 策略 项 目 全 部 启用 ,如 
图 9-15 所 示 。 

"Tn 租 策略 编辑 器 =l9lxl 

文件 下 换 作 个) 查看 GD) 帮助 9) 


所定 | 白 加 | 轩 图 | 只 
地 计 和 机 ”第 李 


田 改 计算 机 IR 置 ET 加 
日 卉 用 PP 置 创 “ 文 件 ”菜单 : 禁用 “新 建 ”菜单 项 下 
由 国 软 件 设置 包 “文件 ” 京 单 : 禁用 “打开 ”菜单 项 赴 
中 - 国 Yindmws 议 量 周 “文件 ” 束 单 : 禁用 另存 为 “网页 ,全 部 ”格式 天 
相思 管理 模板 Pn “文件 " 末 单 : 禁用 关闭 浏览 器 和 资源 管理 器 容 品 才 
es 全 “查看 " 荣 单 : 禁用 “ 源 文 件 " 菜单 项 并 
ee 全 “查看 " 荣 单 : 林 用 “全 屏 显示 ”菜单 项 和 
日 - 国 Iaternet Explorer 和 了 半 “收音 交 " 荣 间 | 
国 aternet 按 制 面板 | | 入 “工具 " 荣 单 .共用 “Internet 选项 "菜单 项 
全 “大助 " 训 单 : 贡 除 “等 日 提示 " 菜单 项 并 
全 “入 助 "” 束 单 ， 册 除 “etscspe 用 户 ”菜单 项 于 
全 “ 帘 助 ” 菜单 ， 册 了 “漫游 ” 菜单 过 项 四 
生 管理 员 认可 的 控件 。 ”| 铺 “ 帮 助 ” 琳 单 ， 峰 除 “发送 反馈 意见 ” 荣 单 项 直 
外 应 用 程序 兼容 性 鲁 禁 用 上 下 文 薪 音 才 
鲜 帮助 和 支持 中 心 鲍 禁 用 “在 新 宣 口中 打开 ” 订单 项 并 
由 - 国 Yindovs 资源 管理 器 ”| 铺 茜 用 “将 该 程 序 保存 到 暗 怠 ”选项 和 

由 - 国 齐 erosoft Managenent 

国共 务 计 虽 程序 
上 =|、 到 
5 XXGS 
| | 


图 9-15 “' 文 件 ’ 莱 单 : 禁用 “另存 为 ..…. "菜单 项 ”的 策略 设置 


如 果 不 希 望 别 人 对 IE 浏览 器 的 设置 随意 更 改 ,可 以 将 ‘工具’ 菜单 : 禁用 “Internet 选 
项 ... 菜单 项 ?策略 启用 。 另 外 ,根据 个 人 的 需要 ,在 该 窗 格 中 还 可 以 禁用 其 他 项 目 。 

@ 禁用 “Internet 选项 ”控制 面板 

上 面 提 到 了 “禁用 Internet 选项 ”的 功能 .使 用 该 功能 可 以 达到 阻止 别人 对 下 浏览 器 随 
便 设置 的 目的 。 而 这 种 方法 无 法 具体 禁用 Internet 选项 中 的 控制 模板 项 目 ,因此 给 具体 应 


工作 任务 九 组 策略 的 设置 


用 带 来 麻烦 。 通 过 下 面 的 组 策略 设置 方法 ,可 以 实现 这 一 要 求 。 

打开 * 组 策略 控制 台 ” 一 "用户 配置 ?一 "管理 模板 ”一 “Windows 组 件 ”> “Internet 
Explorer”>“Internet 控制 面板 ”, 在 右边 窗 格 中 可 以 看 到 “禁用 常规 页 ”“ 禁 用 安全 页 ”等 组 
策略 项 目 。 下 面 以 “禁用 常规 页 ”为 例 来 说 明 。 

打开 右边 窗 格 中 的 “禁用 常规 页 ”并 设置 为 “启用”, 如 图 9-16 所 示 。 


mm 姐 策略 篇 锅 器 
,六 件 如 ”所作 各 ”查看 WW 帮助 史 
| 各 小 | 和 央 | 国 | 锋 加 | 多 


; =|Djx| 


显示 硬性 


全 要 

2 en ES Internet Explorer V5.01 禁用 程序 页 未 被 且 轩 
描述 鲁 芋 用 隐秘 页 来 被 卫 置 
Wee 选项 "对话 E 中 的 【| 鲍 禁用 高 妇 页 未 被 配置 


spl orer 
本 fnternet 控制 面板 若 情 用 该 策略 ， 用 户 格 无 法 看 到 和 


国 脱 机 页 更 改 主 页 、 反 存 、 历 史 证 录 、 同 页 
加 济 和 加 术 单 外观 以 及 畏 有 功能 的 设置 。 

自 工 栏 让 

回 扩 经 生 为 加 果 世 用 设 芝 只 或 不 对 其 进行 也 
局 入 理 员 认 可 的 控件 是 ， 则 用 户 可 以 看 到 并 更 改 这 开设 


加 下 用 程序 兼 窑 性 
加 帮助 和 支持 中 心 
源 秋 理 器 


图 9-16 “禁用 常规 页 ”的 策略 设置 


当 再 次 打开 “Internet 选项 控制 "面板 时 ,会 发 现 “ 常 规 ” 项 目 已 经 没有 了 ,用 户 将 无 法 看 
到 和 更 改 主 页 .缓存 .历史 记录 、 网 页 外 观 以 及 辅助 功能 的 设置 ,因为 该 策略 将 删除 界面 上 的 
“常规 ?选项 卡 。 所 以 ,如 果 设 置 了 该 策略 , 则 无 须 设 置 位 于 “用 户 配 置 *”* 管 理 模板 ”一 
“Windows 组 件 ”>“Internet Explorer” 中 的 诸如 “禁用 更 改 主页 设置 "“ 禁 用 更 改 颜 色 设 
置 "等 策略 。 

@ 禁止 修改 IE 浏览 器 的 主页 

如 果 不 希 望 他 人 对 自己 设 定 的 下 浏览 器 主页 随意 更 改 , 可 以 打开 * 组 策略 控制 台 ” 一 
“用 户 配置 ”->”“ 管 理 模板 ”->“Windows 组 件 ”>“Internet Explorer” 一 “工具 栏 ,然后 选择 
“禁用 更 改 主页 设置 "组 策略 并 启用 。 另 外 ,在 这 个 窗 格 中 还 提供 了 “更 改 历史 记录 设置 ”、 
“更 改 颜色 设置 "和 “更 改 Internet 临时 文件 设置 ”等 项 目的 禁用 功能 。 

启用 此 策略 后 ,在 IE 浏览 器 的 “Internet 选项 ”对 话 框 中 ,其 “常规 ”选项 卡 的 “主页 ”区 
域 的 设置 将 变 灰 。 

注意 : 如 果 设 置 了 位 于 “组 策略 控制 台 ”>“ 用 户 配置 ”>“ 管 理 模 板 ”>“Windows 组 件 ” 一 
“Internet Explorer”>“Internet Explorer 控制 面板 ”中 的 “禁用 常规 页 ”策略 , 则 无 须 设置 该 
策略 ,因为 “禁用 常规 页 ”策略 将 删除 界面 上 的 “常规 ”选项 卡 。 

@ 自 定义 正 工具 栏 

IE 工具 栏 的 背景 和 上 面 的 按钮 都 是 可 以 自 定义 的 ,以 前 大 多 采用 手动 修改 注册 表 的 方 
法 ,不 过 并 不 直观 ,现在 可 以 用 组 策略 更 方便 地 达到 效果 ,打造 属于 用 户 自己 的 IE 浏览 器 。 
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打开 * 组 策略 控制 台 ”-~* 用 户 配置 ”>“*Windows 设置 ”Internet Explorer 维护 ”一 ~ 
“浏览 器 用 户 界 面 " 下 的 “浏览 器 工具 栏 自 定义 ”策略 配置 项 目 , 如 图 9-17 所 示 。 


| axesE TIE 
文件 到) ”操作 必 ) 查看 W) 帮助 mb) 
中小 | 各 | 四 | 略 忆 | 多 
昌国 i | 司 浏 览 器 标 是 
浏览 器 工具 栏 设置 


日 - 国 minaows 设置 
雇 远程 安装 服务 
岂 脚本 (党 录 /注销 ) 
鳃 七 安全 设置 
Internet Explorer 维护 
浏览 器 用 户 界面 


日 


9-17 “浏览 器 工具 栏 自 定义 ”的 策略 设置 


在 这 里 ,可 以 自 定义 浏览 器 工具 栏 的 背景 图 片 。 单 击 “ 浏 览 ” 按 钮 ,然后 选择 一 个 BMP 
的 位 图 文件 ,如 图 9-18 所 示 。 


浏览 器 工具 栏 自 定义 7d| 


CC 喀 |] 贿 [za 于 助 
图 9-18 “浏览 器 工具 栏 自 定义 ”对 话 框 
注意 : 工具 栏 背 景 应 该 与 工具 栏 大 小 相同 ,亮度 应 该 足以 显示 黑色 文字 ,否则 实际 效果 
并 不 理想 。 
接 下 来 ,在 正 的 工具 栏 上 添加 快捷 方式 .比如 添加 "我 的 QQ” ,操作 步骤 为 : 单 击 “ 添 


加 ?按钮 ,在 “工具 栏 标题 "中 输入 "我 的 QQ”; 再 在 “工具 栏 操作 ”中 选择 QQ 程序 的 路 径 ; 
最 后 选择 “颜色 图 标 " 和 “ 灰 度 图 标 ” 的 路 径 。 设 置 完 成 后 单 击 “ 确 定 ” 按 钮 ,再 次 打开 IE 浏览 


器 ,就 可 以 看 到 修改 的 效果 。 


ES 二。 i 


(4) Windows 高 级 功能 设置 

@ 在 Windows XP/2003 中 实现 远程 关机 

在 Windows XP/2003 中 ,新 增 了 一 条 命令 行 工具 “shutdown”, 它 可 以 关闭 或 重新 启动 
本 地 或 远程 计算 机 。 利 用 它 不 但 可 以 注销 用 户 、 关 闭 或 重启 计算 机 ,还 可 以 实现 定时 关机 、 
远程 关机 。 该 命令 的 语法 格式 如 图 9-19 所 示 。 


X| 
= \Documents and Settings\Adninistrator>shutdown 二 | 
法 : shutdoun ri Miss ivaixp imh ivelrtl 
Crm Neonputert/t vot/d [pz]xxzsyy [Ze "comment"]] | 
没有 参数 2 这 与 输入 /? 是 一 样 的 
可 a 


A 


/nm \\comput 


/t XXX i | 
人 Es 7 的 应 EA 
Ad [p: Jxx:yy i 
和 ee 让 加 站、 
xx 
yy 可 中 # 65536 的 正 整数 > 了 | 


9-19 “shutdown” 命 令 使 用 帮助 


污 $ En en 


i 
从 
于 四 
要 也 让 
[Ea 
3 
x 
oy 


衣 训 后 贡 兴 总 


ES 


Se 
4 


i 
3 


下 面 是 该 命令 的 一 些 基 本 用 法 。 
。 注 销 当前 用 户 : 


shutdown -1 


该 命令 只 能 注销 本 机 用 户 , 对 远程 计算 机 不 适用 。 
。 关闭 本 地 计算 机 : 


shutdown -s 

"重启 本 地 计算 机 : 
shutdown -r 

”定时 关机 : 
shutdown -s -t 30 


指定 在 30s 之 后 自动 关闭 计算 机 。 
。 中止 计 算 机 的 关闭 : 有 时 用 户 设 定 了 计算 机 定时 关机 后 ,如 果 出 于 某 种 原因 想 取消 
这 次 关机 操作 ,可 以 用 shutdown - a 来 中 止 。 
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。 使 用 图 形 界面 设置 关机 : shutdown 命令 也 可 以 用 图 形 界面 来 设置 。 在 命令 行 窗 口 
输入 “shutdown -i”, 然 后 按 “Enter” 键 ,将 弹出 “远程 关机 对 话 框 ”, 如 图 9-20 所 示 ， 
可 以 根据 需要 进行 设置 。 

EE 


计算 机 @): 


添加 
Cah 
浏览 人 


关闭 事件 跟踪 程序 
请 选择 最 蕉 确 描述 您 关闭 计算 机 的 原因 的 选项 


选项 @): F 计划 的 @) 


其 他 (二 区 凤 9) 也 


为 未 知 原因 而 重新 启动 或 关机 。 
注释 (此 字段 对 修 选 择 的 原因 来 说 是 必须 的 ) 下) 


博 定 取消 CC) 帮助 


图 9-20 “远程 关机 对 话 框 ?设置 


在 该 命令 的 格式 中 ,有 一 个 参数 [-m [\\ComputerName], 用 于 指定 将 要 关闭 或 重启 的 
计算 机 名 称 ; 若 省 略 , 则 默认 为 对 本 机 操作 。 

例如 ,在 30s 内 关闭 局 域 网 内 一 台 同 样 装 有 Windows XP 或 Windows 2003 系统 的 计 
算 机 ,计算 机 名 为 melody, 使 用 如 下 命令 : 


shutdown -s -m \\melody -t 30 


如 果 该 命令 执行 后 ,计算 机 melody 一 点 反应 都 没有 ,屏幕 上 却 提示 “Access is denied 
(拒绝 访问 )”, 其 原因 是 在 Windows XP 默认 的 安全 策略 中 ,只 有 管理 员 组 的 用 户 才 有 权 从 
远 端 关闭 计算 机 ,一 般 情 况 下 从 局 域 网 内 的 其 他 计算 机 访问 该 计算 机 时 只 有 guest 用 户 权 
限 , 所 以 当 执行 上 述 命令 时 ,会 出 现 * 拒 绝 访问 ”的 情况 。 利 用 组 策略 ,可 赋予 guest 用 户 远 
程 关机 的 权限 。 

打开 “组 策略 控制 台 ”>" 计 算 机 配置 ”>“Windows 设置 ”安全 设置 ”一 “本 地 策略 ”一 
“用 户 权限 分 配 ”>“ 从 远程 系统 强制 关机 ”, 如 图 9-21 所 示 。 在 弹出 的 对 话 框 中 显示 目前 只 
有 “Administrators” 组 的 成 员 才 有 权 从 远程 关机 。 单 击 对 话 框 下 方 的 “添加 用 户 或 组 "按钮 ， 
然后 在 新 弹出 的 对 话 框 中 输入 “guest”, 再 单 击 “ 确 定 ” 按 钮 。 通 过 上 述 操 作 , 便 给 计算 机 
melody 的 guest 用 户 授予 了 远程 关机 的 权限 。 

以 后 ,倘若 要 远程 关闭 计算 机 melody, 只 要 在 网 络 中 其 他 装 有 Windows XP/2003 的 计 
算 机 中 输入 命令 “shutdown -s -m \\melody -t 60” 即 可 。 这 时 ,在 melody 计算 机 的 屏幕 上 
将 显示 “系统 关机 ”的 对 话 框 ; 在 对 话 框 下 方 还 有 一 个 计时 器 ,显示 离 关 机 还 有 多 少时 间 。 
在 等 待 关 机 的 时 间 里 ,用 户 可 以 执行 其 他 任务 ,如 关闭 程序 、 打 开 文 件 等 ,但 无 法 关闭 该 对 话 


工作 任务 九 组 策略 的 设置 “中 49 


im 组 策略 策 每 加 二 IDIz 
文件 四 ”操作 和) 查看 Q) 。 帮助 
守 销 | 则 | 加 |X 轿 局 | 
[EE 5， [安全 六 村 sy 
中 蜀 计 算 机 配置 各 从 文件 和 目录 Mininistrators, 
由 多 软件 设置 了 标 记 对 象 
早 外 Winams 设置 他 娃 全 局 对 象 #5-1-5-21-TT899 
他 尘 页 面 文件 Adninistrators 
四 他 时 永久 共享 对 象 
[从 扩展 坞 中 取出 计算 机 Adninistrators, 
辆 从 网 络 访问 此 计算 机 Everyone, IUSR_G. 
远 Adninistrators 
[8 调试 程 序 Adninistrators 
由 国 世 [8 提 调整 进程 的 内 存 配额 LDCAL SERYVICE, N. 
国 -加 软件 限制 策 路 8 更改 系统 时 间 Adninistrators, 
由 蝎 I 安全 策略 ， 在 本 地 计 | 国 关闭 系统 Adninistrators, 
管理 模板 | 管理 审核 和 安全 日 志 Adninistrators 
户 配置 [还 原文 件 和 目录 Adninistrators, 
由 - 国 软件 设置 辆 拒绝 本 地 登录 SUPFORT_366945a0 
外国 findows 设置 鸭 拒 绝 从 网 络 访问 这 台 计算 机 SUPPORT._388945aD 
鲜 国 管理 模板 多 作为 服务 登录 
[拒绝 作为 批 处 理 作业 登录 
| > ”于 | 纲 内 存 中 议定 页 面 本 
[ | 
图 9-21 “从 远程 系统 强制 关机 ”的 策略 设置 


框 ,除非 用 shutdown -a 命令 来 中 止 关 机 任务 。 

@ 隐藏 “我 的 电脑 ”中 指定 的 驱动 器 

此 组 策略 可 以 从 “我 的 电脑 “和 “Windows 资源 管理 器 * 上 删除 代表 所 选 硬 件 驱 动 器 的 
图 标 ,并 且 驱 动 器 号 代表 的 所 有 驱动 器 不 出 现在 标准 的 打开 对 话 框 上 。 

打开 “组 策略 控制 台 ”>“ 用 户 配 秆 ”>“ 管 理 模 板 ”>“Windows 组 件 ”>“Windows 资源 
管理 器 ”中 的 “隐藏 “我 的 电脑 "中 的 这 些 指定 的 驱动 器 "并 启用 此 策略 ,如 图 9-22 所 示 。 


文件 四 换 作 从 查看 W) 帮助 中 


国 Windows 设置 
管理 柜 板 至 少 Mirosoft Windows 2000 


国 findows 姐 件 


描述 
从 我 的 电脑 和 Yindows 资源 冲 理 器 
nt Bolerer 上 遇 除 代表 所 选 渍 御 弦 动 器 的 图 
加 应 用 程序 莱 容 性 标 。 并 且 3Esh 器 号 代表 的 所 有 3E 动 
国 帮助 和 支持 中 心 器 不 出 现在 标准 的 打开 对 话 框 上 。 


9 Windows 资源 管理 器 
四 国 量 crosoft Wanagenent Con | 要 使 用 这 项 策略 ， 语 从 下 拉 列表 上 
进 择 一 个 驱动 器 或 几 个 并 动 器 ， 要 


国 任务 计划 程序 


Windows Instailer 
Nindows messengsr 
indows wpdate 注意 ， 这 项 策 覆 册 有 3E 动 器 图 标 。 
由 - 国 Windons media Player 用 户 仍 可 通过 使 用 其 她 方式 继续 访 


本 地 计算 机 
日 可 计算 机 也 置 
和 由- 国 软 件 设置 覆 普 “我 的 电脑 ”中 的 这 些 指定 的 ”过 二 2 
由 国 inaows 设置 四 通用 打开 文件 对 活检 
了 | 名 所用 经 奥 外 观 
显示 属性 


全 从 “工具 ”菜单 振 除 “文件 到 选项 ” 菜 皇 
从 winaovs 资源 管理 器 中 删除 “文件 "菜单 
扣除 “映射 网 络 驱动 器 ”和 “ 扬 开 网 络 驱 动 器 ” 


从 Winaows 资 天 管理 器 上 删除 搜索 按钮 

扣除 Yindovs 资源 管理 器 的 默认 上 下 文 菜单 
傅 隐 家 Yindows 资源 管理 器 上 下 文 菜单 上 的 “管理 ”项 目 
锯 只 允 洗 每 用 户 或 允许 的 外 壳 扩 展 


合击 了 “更 件 ”选项 卡 
岛 测 除 DFS 达 项 卡 
剖 除 “安全 ”选项 卡 
抽 辽 更 改 菜单 动画 设置 的 I 
全 而 除 更 改 键 念 览 指示 器 设置 的 iT 
岛 “ 同 上 分 居 ” 中 没有 “我 用 近 的 计算 机 ” 


四 任务 栏 和 . 加 : 
Ee ee 人 “同上 分 居 " 中 不 含 “ 吾 个 网 络 " 
回 控制 面板 命令 窗口 上 键入 一 个 驱动 器 的 目录 鲁 “ 最 和 [的 文档 ”的 最 大 数目 
各 共享 文件 严 包 不 要 中 请 其他 医大 
由 国 RM 同时 ， 此 第 喇 不 会 防止 用 记 使 用 程 他 为 8 中 请 近 经 = 
日 四 天 及 问 时 汉 关 下 几 ， 也 下 | | = | 于 
」 划 \ 芳 展 人 标准 
| [ 
图 9-22 “隐藏 ' 我 的 电脑 ?中 的 这 些 指定 的 驱动 器 ”的 策略 设置 
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弹出 “隐藏 “我 的 电脑 "中 的 这 些 指定 的 驱动 器 属性 ”对 话 框 ,在 其 下 面 的 列表 框 中 选择 
一 个 驱动 器 或 几 个 驱动 器 进行 隐藏 设置 ,如 图 9-23 所 示 。 


[3 了 引 x| 


支持 于 : 至 少 Microsoft Windors 2000 
上 一 设置 中) 下 一 设置 D 


Ce |] ww | maw | 


9-23 “隐藏 “我 的 电脑 中 的 这 些 指定 的 驱动 器 属性 ”对 话 框 


注意 : 这 项 策略 只 删除 驱动 器 图 标 ,用 户 仍 可 通过 其 他 方式 继续 访问 驱动 器 的 内 容 。 
同时 ,这 项 策略 不 会 防止 用 户 使 用 程序 访问 这 些 驱 动 器 或 其 内 容 , 也 不 会 防止 用 户 使 用 磁盘 
管理 即 插 即 用 来 查看 并 更 改 驱动 器 特性 。 

@ 防止 从 “我 的 电脑 ”访问 驱动 器 

此 策略 让 用 户 无 法 查看 在 “我 的 电脑 ”或 “Windows 资源 管理 器 "中 所 选 驱 动 器 的 内 容 。 同 
时 ,禁止 使 用 运行 对 话 框 ,镜像 网 络 驱 动 器 对 话 框 或 Dir 命令 查看 在 这 些 驱动 器 上 的 目录 。 

打开 “组 策略 控制 台 ”>“ 用 户 配 秆 >“ 管理 模板 ”>“Windows 组 件 ”>“Windows 资源 
管理 器 ”中 的 “防止 从 “我 的 电脑 访问 驱动 器 "并 启用 此 策略 ,如 图 9-24 所 示 。 


滞 扫 第 史 绩 提 吕 ES 
文件 如 换 作 从 查看 W) 帮助 中 


“本 地 计算 机 ”第 略 


设置 
田 时 计算 机 配置 国 通 用 打开 文件 对 话 框 
日 - 卉 用 户 配置 全 局 用 经 和 外 观 
由 - 国 软件 设置 鲜 从 “工具 ”菜单 咒 除 “文件 夹 选项 ”菜单 


信人 winaovs 资源 芝 理 器 中 删除 “文件 ”菜单 

钙 吉 除 “ 观 射 网 络 驱 动 器 ”和 “ 靳 开 网 络 3E 功 器 ” 

合作 winaevs 资源 答 理 器 上 出 除 搜索 按 团 

包 th 附 winaows 资源 管理 器 的 黑 认 上 下 文 荣 单 

全 陷 床 winaows 资源 巷 理 器 上 下 文 菜单 上 的 “管理 " 项目 


日 国 Windmws 组 件 
由 -四 Wetleeting 
a Internet Explorer 


和 Windowvs Installer 
国 Windows Messenger 
a Yindors Vpdate 
-Yindovs Media Player 
国 任务 栏 和 [开始 | 菜单 


EE 4 
划 入 展 入 标准 


图 9-24 “防止 从 “我 的 电脑 访问 驱动 器 ”的 策略 设置 


工作 任务 九 “组 策略 的 设置 


此 时 ,会 弹出 “隐藏 “我 的 电脑 "中 的 这 些 指定 的 驱动 器 属性 ?对 话 框 ,在 其 下 面 的 列表 
框 中 选择 一 个 驱动 器 或 几 个 驱动 器 进行 隐藏 设置 。 注 意 ,这 些 代表 指定 驱动 器 的 图 标 仍旧 
会 出 现在 “我 的 电脑 ”中 ,如 果 用 户 双击 图 标 .会 出 现 一 条 消息 ,解释 设置 防止 这 一 操作 。 同 
时 ,这 些 设置 不 会 防止 用 户 使 用 其 他 程序 访问 本 地 和 网 络 驱 动 器 ,并 且 不 防止 使 用 磁盘 管理 
即 插 即 用 查看 和 更 改 驱动 器 特性 。 
@ 禁止 使 用 文件 夹 选 项 
在 Windows 操作 系统 中 ,“ 文 件 夹 选项 ”是 比较 常用 的 功能 之 一 。 使 用 “文件 夹 选 项 ” 功 
能 ,用 户 可 以 查看 隐藏 在 计算 机 中 的 文件 .设置 文件 夹 窗口 的 打开 方式 以 及 其 他 许多 有 关 文 
件 夹 选项 的 设置 。 如 果 用 户 不 希望 其 他 用 户 更 改 自 己 在 计算 机 中 的 各 项 设置 ,可 以 将 该 功 
能 禁用 。 
打开 “组 策略 "窗口 ,然后 在 左边 窗 格 中 依次 展开 * 用 户 配置 ”管理 模板 ”>“Windows 
组 件 ”>“Windows 资源 管理 器 ”, 可 以 在 右边 窗 格 中 看 到 “从 工具 ?菜单 删除 ' 文 件 夹 选 项 ” 
菜单 ”, 如 图 9-25 所 示 。 
开工 工 二 =Iolx 
文件 人 ”操作 (4) 查看 WD 帮助 00 


和 了 | 生 | 加 | 办 鞠 |@ 
“二 地 二 生机” 策 吧 
机 配置 


田 国 Windovs 设置 
日 国 管理 本 

日 国电 indows 组 件 
BD Netleeting 
田 国 Internet Explorer 


文 荣 单 
隐 疗 Windors 资源 管理 器 上 下 文 菜单 上 的 “管理 ”项 目 


国 rindows Messenger 
国 Yinaows Update 
回国 Windows a i 


国 任务 栏 和 [ 开 ! 
SE 
[ Nsl ol: 


9-25 “从 “工具 ’ 菜 单 删除 “文件 夹 选项 ?菜单 ”的 策略 设置 


在 其 上 右 击 ,从 弹出 的 快捷 菜单 中 选择 “属性 ”菜单 项 ,或 者 直接 双击 它 , 打 开 对 话 框 。 
选择 “已 启用 ” 单 选 按钮 ,然后 单 击 “确定 ”按钮 。 当 用 户 再 在 窗口 中 选择 “工具 ”菜单 项 时 ,会 
发 现 里 面 已 经 没有 了 “文件 夹 选 项 "菜单 项 。 如 果 用 户 想 要 重新 使 用 “文件 夹 选项 ”功能 ,可 
以 进入 “组 策略 "窗口 中 的 相同 目录 ,找到 “从 工具’ 菜单 删除 “文件 夹 选项 菜单 ”选项 并 双 
击 , 然 后 在 其 属性 对 话 框 将 从“ 工具’ 菜单 删除 “文件 夹 选项 菜单 ”选项 设置 为 “未 配置 ”或 
者 “已 禁用 ”。 

@ 防止 访问 控制 面板 

控制 面板 是 Windows 中 最 重要 的 组 件 之 一 。 要 在 组 策略 中 设置 禁止 访问 控制 面板 , 具 
体 的 操作 步骤 如 下 : 

打开 “组 策略 "窗口 ,然后 在 左边 窗 格 中 依次 展开 “用户 配置 ”~ 管理 模板 ”~ 控制 面 
板 ”, 用 户 可 以 在 右边 窗 格 中 看 到 “禁止 访问 控制 面板 ”选项 ,如 图 9-26 所 示 。 
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滞 直 第 号 锁 各 于 = WE 
文件 四 名作 册 查看 WD 帮助 


理 醒 板 
图 图 Windors 组 件 ET 
国 任务 栏 和 [开始 | 沫 ! 


加 
L Fiml ol: 
9-26 “禁止 访问 控制 面板 ”的 策略 设置 


在 其 上 右 击 ,从 弹出 的 快捷 菜单 中 选择 “属性 ”菜单 项 ,或 者 直接 双击 它 ,打开 对 话 框 。 
选择 “已 启用 ” 单 选 按 钮 ,然后 单 击 “ 应 用 ”和 “确定 ”按钮 。 这 样 , 当 用 户 青 次 打开 “开始 ”菜单 
时 ,会 发 现 其 中 已 经 没有 了 “控制 面板 "菜单 项 。 如 果 用 户 想 要 重新 使 用 控制 面板 ,在 上 述 操作 
的 同一 目录 下 ,将 “禁止 访问 控制 面板 ”选项 设置 为 “未 配置 "或 者 “已 禁用 ” 即 可 。 

@ 禁用 “添加 /删除 程序 ”Windows 2000/XP/2003) 

“控制 面板 ”中 的 “添加 或 删除 程序 ”项 目 允 许 安装 、 印 载 . 修 复 并 添加 或 删除 Windows 
的 功能 和 组 件 及 很 多 种 类 的 Windows 程序 。 如 果 想 阻止 其 他 用 户 安装 或 卸载 程序 ,可 利 
用 组 策略 来 实现 。 

打开 “组 策略 控制 台 ”>“ 用 户 配 置 " 一 “管理 模板 ”>“ 控 制 面板 ”>“ 添 加 ”>“ 删 除 程 序 ” 
中 的 “删除 “添加 /删除 程序 "程序 ”并 启用 此 策略 , 当 再 次 打开 “控制 面板 ”中 的 “添加 /删除 程 
序 ” 模 块 时 ,会 自动 弹出 警告 窗口 ,而 “添加 /删除 程序 ”无 法 运行 。 

此 外 ,在 “添加 /删除 程序 ”分 支 中 还 可 以 对 Windows* 添 加 /删除 程序 "项 中 的 “添加 新 
程序 ”" “从 CD-ROM 或 软盘 添加 程序 ”“ 从 Microsoft 添加 程序 ”“ 从 网 络 添 加 程序 ”等 项 
进行 隐藏 。 通 过 设置 这 些 策略 项 目 ,来 保护 计算 机 中 的 系统 文件 及 应 用 程序 。 

@ 禁止 使 用 命令 提示 符 (Windows 2000/XP/2003) 

在 Windows 2000/XP/2003 下 ,可 以 运行 cmd. exe 进入 命令 提示 符 状 态 ,并 可 以 继续 
运行 一 些 DOS 命令 和 其 他 命令 行程 序 。 出 于 对 安全 的 考虑 ,有 些 系 统 应 该 屏蔽 此 功能 。 

打开 “组 策略 控制 台 ”>“ 用 户 配 置 ">“ 管 理 模 板 ”>“ 系 统 " 中 的 “阻止 访问 命令 提示 符 ” 
并 启用 此 策略 ,并 在 下 面 的 列表 框 中 选择 是 否 “ 也 停 用 命令 提示 符 脚 本 处 理 ”。 这 个 设置 还 
决定 批 处 理 文件 . cmd 和 . bat 是 否 可 以 在 计算 机 上 运行 。 

如 果 启 用 这 个 设置 ,在 用 户 试图 打开 命令 窗口 时 ,系统 会 显示 一 条 消息 ,解释 设置 阻止 
这 一 操作 。 

@ 禁止 注册 表 编 辑 器 

打开 “组 策略 ”窗口 ,然后 在 左边 窗 格 中 依次 展开 * 用 户 配置 ”~ 管理 模板 ”> 系统 ”, 用 
户 可 以 在 右边 窗 格 中 看 到 “阻止 访问 注册 表 编 辑 工具 ”, 如 图 9-27 所 示 。 


工作 任务 九 组 策略 的 设置 
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9-27 “阻止 访问 注册 表 编辑 工具 ”的 策略 设置 


在 其 上 布 击 , 从 弹出 的 快捷 菜单 中 选择 “属性 ”菜单 项 ,或 者 直接 双击 它 ,打开 对 话 框 。 
选择 “已 启用 ” 单 选 按 钮 ,然后 单 击 “ 确 定 ” 按 钮 。 此 时 下 面 的 “禁用 后 台 运 行 regedit?” 下 拉 列 表 
被 激活 ,用 户 可 以 从 中 选择 “是 ”或 “ 否 " 来 决定 是 否 禁 用 后 台 运 行 *regedit” 命 令 。 当 用 户 青 
在 运行 中 输入 “regedit” 命 令 时 ,会 提示 “注册 编辑 已 被 管理 员 停 用 ”。 

限制 可 以 使 用 的 应 用 程序 

有 时 用 户 所 使 用 的 计算 机 并 非 一 人 专用 ,而 是 多 个 人 共用 的 ,而 且 这 些 使 用 者 的 权限 不 
一 样 ,有 的 是 管理 员 账 户 , 有 的 是 标准 账户 ,有 的 则 使 用 Guest 账户 。 此 时 ,管理 员 用 户 可 以 
为 其 他 用 户 设 置 可 以 使 用 的 应 用 程序 的 限制 ,具体 操作 步 又 如 下 。 

打开 “组 策略 ”窗口 ,然后 在 左边 窗 格 中 依次 展开 “用户 配置 ”管理 模板 -> 系统 ”, 用 
户 可 以 在 右边 窗 格 中 看 到 “只 运行 许可 的 Windows 应 用 程序 ”, 如 图 9-28 所 示 。 


TT | 
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图 9-28 “只 运行 许可 的 Windows 应 用 程序 ”的 策略 设置 
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网 络 安全 部 署 


在 其 上 右 击 ,从 弹出 的 快捷 菜单 中 选择 “属性 ”菜单 项 ,或 者 直接 双击 它 ,打开 对 话 框 。 
选择 “已 启用 ” 单 选 按钮 ,下 面 的 “允许 的 应 用 程序 列表 ”右边 的 显示 按钮 被 激活 。 单 击 “ 添 
加 ”按钮 ,输入 想 要 设置 为 允许 运行 的 应 用 程序 ,然后 单 击 “ 确 定 ” 按 钮 。 

另外 ,用 户 可 以 在 右边 窗 格 中 找到 “不 要 运行 指定 的 Windows 应 用 程序 ”选项 ,如 图 9-29 
所 示 。 


"i 组 策略 编辑 器 Be [EA| 


文件 四” 操作) 查看 WD 帮助 0D 
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9-29 “不 要 运行 指定 的 Windows 应 用 程序 ”的 策略 设置 


双击 打开 其 属性 对 话 框 , 然 后 选择 “已 启用 ? 单 选 按钮 ,下 面 的 “不 允许 的 应 用 程序 列表 ” 
右边 的 显示 按钮 被 激活 。 单 击 “ 添 加 ”按钮 ,输入 想 要 设置 为 不 允许 运行 的 应 用 程序 ,然后 单 
击 “ 确 定 ” 按 钮 。 例 如 输入 “notepad. exe” ,设置 “记事 本 ”为 不 允许 运行 的 应 用 程序 。 


9.4.3 任务 3: 系统 的 安全 管理 


1. 任务 目标 

安全 是 计算 机 用 户 不 能 忽视 的 一 个 方面 。 设 置 完 善 的 安全 策略 对 于 维护 计算 机 系统 的 
安全 是 很 重要 的 。 系 统 安全 至 关 重要 , 它 不 仅 影 响 着 计算 机 能 否 处 于 一 个 稳定 且 安 全 、 可 靠 
的 环境 中 ,而 且 直接 影响 着 用 户 的 利益 能 否 得 到 有 效 的 保障 。 一 些 网 络 攻击 者 常常 会 利用 
用 户 计 算 机 中 的 漏洞 进行 窃取 和 破坏 活动 ,给 用 户 带 来 不 必要 的 损失 。 在 与 本 地 安全 策略 
有 关 的 策略 选项 中 ,有 一 些 是 与 系统 安全 紧密 相关 的 ,对 这 些 策略 选项 进行 适当 的 设置 ,能 
够 更 好 地 维护 计算 机 系统 的 安全 。 


2. 工作 任务 
(1) 禁止 在 登录 前 关机 ; 
(2) 不 显示 上 次 登录 的 用 户 名 。 


3. 工作 环境 
一 台 预 装 Windows Server 2003/XP 的 主机 。 


工作 任务 九 ”组 策略 的 设置 


4. 实施 过 程 

(1) 禁止 在 登录 前 关机 

此 策略 选项 用 来 确定 是 否 无 须 登 录 到 系统 便 可 关闭 计算 机 。 启 用 此 策略 时 ,在 
Windows 登录 屏幕 上 的 关机 命令 可 用 ; 禁用 此 策略 时 ,用 户 必须 能 够 成 功 登录 到 计算 机 并 
具有 关闭 系统 的 权限 ,才能 够 执行 系统 关闭 操作 。 具 体 的 操作 步骤 如 下 : 

选择 “开始 ”>“ 运 行 " 菜 单 ,打开 “运行 ”对 话 框 ,然后 输入 “secpol. msc” 命 令 , 按 “Enter” 
键 打 开 “ 本 地 安全 设置 "窗口 ,再 在 左边 窗 格 中 依次 展开 “安全 设置 ">“ 本 地 策略 ”>“ 安 全 选 
项 ”, 在 右边 窗 格 中 找到 “关机 : 允许 系统 在 未 登录 前 关机 ”选项 ,如 图 9-30 所 示 。 
"Wn 本 地 安全 设置 
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9-30 “关机 : 允许 系统 在 未 登录 前 关机 ”的 策略 设置 


双击 打开 “属性 ”对 话 框 ,选择 “已 启用 ” 单 选 按钮 ,然后 单 击 “ 应 用 ”和 “确认 ”按钮 。 通 常 
情况 下 ,作为 服务 器 的 计算 机 是 否 能 够 保证 运行 正常 .不 受到 恶意 攻击 和 不 中 途 断 电 关 机 
等 ,对 于 局 域 网 甚至 是 整个 互联 网 都 起 着 至 关 重 要 的 作用 ,因此 应 该 将 该 策略 选项 设置 为 
“已 禁用 ”。 对 于 作为 终端 的 计算 机 来 说 ,不 需要 保证 计算 机 一 直 处 于 开机 状态 ,如 果 用 户 在 
登录 界面 以 后 不 想 使 用 计算 机 了 ,在 登录 界面 上 有 一 个 “关机 ”选项 显得 方便 很 多 。 

(2) 不 显示 上 次 登录 的 用 户 名 

该 策略 选项 用 来 确定 是 否 将 上 次 登录 到 系统 中 的 用 户 名 显示 在 Windows 登录 界面 中 。 
很 多 情况 下 ,这 一 功能 的 设置 方便 了 用 户 登录 系统 ,但 另 一 方面 为 非法 用 户 侵犯 用 户 隐私 带 来 
了 便利 。 如 果 启 用 该 策略 选项 , 则 上 次 成 功 登 录 的 用 户 的 名 称 将 不 显示 在 登录 界面 中 ; 如 果 
禁用 该 策略 选项 ,在 Windows 登录 界面 中 会 显示 上 次 登录 的 用 户 名 。 具 体 的 操作 步 又 如 下 : 

@ 打开 “本 地 安全 设置 "窗口 。 

@ 在 左边 窗 格 中 依次 展开 “安全 设置 ">“ 本 地 策略 ”>“ 安 全 选项 ”。 

@ 在 右边 窗 格 中 找到 “交互 式 登录 : 不 显示 上 次 的 用 户 名 ”选项 ,如 图 9-31 所 示 。 

@ 双击 打开 其 “属性 ”对 话 框 ,选择 “已 启用 ” 单 选 按钮 ,然后 单 击 “ 应 用 ”和 “确认 ”按钮 。 

注意 : 当 启 用 了 该 策略 选项 之 后 ,用 户 再 次 登录 系统 时 ,需要 输入 用 户 名 和 密码 。 
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图 9-31 “交互 式 登 录 : 不 显示 上 次 的 用 户 名 ”的 策略 设置 


95 常见 问题 解答 
Windows 允许 医 名 用 户 执行 某 些 操 作 , 比如 列举 域 账户 和 网 络 共享 各。 例如, 当 用 户 


要 给 一 个 不 需要 维护 互相 信任 关系 的 信任 域 中 的 用 户 进行 访问 授权 时 ,这 是 非常 方便 的 。 
默认 情况 下 ,匿名 用 户 具 有 与 授予 给 everyone 组 中 的 用 户 访 问 特定 资源 相同 的 访问 权限 。 


96 过 关 练 习 


一 、 选 择 题 

若 在 Windows* 运 行 ”窗口 中 输入 ( ) 命 令 ,可 运行 Microsoft 管理 控制 台 。 
A. cmd B. mme C. autoexe D. tty 

二 、 简 答题 


1. 如 何 利用 组 策略 设置 “不 允许 SAM 账户 匿名 枚 举 ”? 
2. 如 何 利用 组 策略 设置 用 户 权 限 ? 


[工作 任务 十 
加 密 技 术 的 使 用 


101 用 户 需 求 与 分 析 


实际 工作 中 ,企业 人 员 经 常 要 利用 互联 网 将 一 些 重要 文档 传送 给 自己 的 客户 或 企业 总 
部 ,但 是 互联 网 上 存在 很 多 不 安全 因素 ,如 何 对 重要 文档 进行 机 密 性 保护 是 传输 操作 中 重点 
要 考虑 的 问题 。TCP/IP 协议 是 目前 使 用 最 为 广泛 的 网 络 互联 协议 ,但 TCP/IP 协议 本 身 
存在 很 多 安全 性 问题 ,如 何 利用 不 安全 的 TCP/IP 协议 实现 对 数据 的 安全 传输 呢 ? 最 有 效 
的 方法 就 是 对 要 传输 的 数据 加 密 后 传输 。 因 此 ,作为 网 络 安 全 管理 与 维护 人 员 ,要 掌握 数据 
的 加 密 技术 与 方法 ,并 能 运用 主流 的 加 密 与 防护 技术 为 企业 的 商业 机 密 数 据 提供 保护 。 


102 预备 知识 


加 密 是 对 数据 进行 编码 ,使 其 转变 为 一 种 按 常规 不 可 理解 的 形式 ,这 种 形式 称 为 密 文 。 
解密 是 加 密 的 逆 过 程 ,即将 密 文 还 原 成 原来 可 以 理解 的 形式 。 数 据 加 密 技术 的 关键 是 加 密 
算法 和 密 钥 。 加 密 算 法 是 一 组 指令 或 一 个 数学 公式 , 密 钥 则 是 算法 中 的 可 变 参 数 。 同 一 明 
文 使 用 不 同 的 加 密 算 法 ,或 使 用 相同 的 加 密 算 法 ,但 用 不 同 的 密 钥 ,会 得 出 不 同 的 密 文 。 衡 
量 一 个 加 密 算法 的 可 靠 性 ,主要 取决 于 解密 的 难度 ,而 这 与 密 钥 长 度 有 关 。 目 前 广泛 应 用 的 
加 密 技术 有 两 种 , 即 对 称 密 钥 加 密 算法 和 非 对 称 密 钥 加 密 算 法 ,也 称 为 私 钥 加 密 算法 和 公 钥 
加 密 算法 。 


10.2.1 对 称 加 密 算法 及 其 应 用 


对 称 加 密 也 称 为 私 钥 加 密 体制 。 对 称 密 钥 加 密 技 术 使 用 相同 的 密 钥 对 数据 进行 加 密 和 
解密 ,发 送 者 和 接收 者 使 用 相同 的 密 钥 。 现 在 ,对 称 加 密 算法 有 很 多 ,通过 特殊 的 数学 算法 
实现 强度 增加 ,包括 DES 算法 、IDEA 算法 .3DES 算法 .AES 算法 ,AED 算法 .RC2 算法 、 
RC4 算法 、RC5 算法 、Skipjack 算法 和 Blowfish 算法 等 。 一 般 从 古典 对 称 加 密 算法 开始 了 
解 对 称 加 密 算法 。 


1. 古典 对 称 加 密 算法 

古典 对 称 加 密 算法 又 称 为 已 撤 加 密 。 历 史上 恺 撤 南 征 北 战 ,几乎 统一 了 欧洲 , 葛 定 了 罗 
马 帝 国 。 恺 撤 较 早 将 此 加 密 算法 用 于 战争 通信 ,用 来 保护 重要 军情 ,因此 这 种 加 密 方法 称 为 
恺 撤 密码 。 恺 撤 密码 的 思想 是 将 字母 按 顺序 推 后 3 位 ,从 而 起 到 加 密 作用 ,产生 的 明 、 密 文 
对 照 表 如 下 所 示 。 
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明文 ABCDEFGHIJKLMNOPQRSTUVWXYZ 

密 文 :DEFGHIJKLMNOPQRSTUVWXYZABC 

例如 ,信息 “START WAR” 用 恺 撤 密 码 加 密 后 变 成 了 “VWDUW ZDU”, 加 密 后 的 信息 
即使 被 敌 方 截获 ,也 不 会 泄密 。 对 于 这 种 按 字母 顺序 后 移 的 加 密 算 法 ,3 是 加 密 的 密 钥 。 如 
果 改 变 加 密 密 钥 , 明 、 密 文 对 照 表 也 会 改变 ,比如 把 加 密 密 钥 改 成 5, 则 明文 “STOP” 转 换 成 
密 文 就 是 *XYTU”。 显 然 , 这 种 密码 的 加 密 强 度 是 很 低 的 ,只 需要 简单 统计 字母 频率 就 可 以 
破译 。 

2. 现代 对 称 加 密 算法 

(1) 对 称 密 钥 加 密 技 术 的 典型 算法 DES 

DES(Data Encryption Standard ,数据 加 密 标 准 ) 是 最 早 . 最 著名 的 对 称 密 钥 加 密 算法 ， 
它 由 IBM 公司 在 20 世纪 70 年 代 发 展 起 来 的 ,于 1977 年 被 美国 国家 技术 标准 局 (NIST) 批 
准 作为 非 机 要 部 分 使 用 的 数据 加 密 标准 。 在 国内 ,DES 算法 在 POS、ATM ,磁卡 及 智能 卡 
(IC 卡 ) ,加 油 站 、 高 速 公路 收费 站 等 领域 被 广泛 应 用 ,实现 关键 数据 的 保密 。 

DES 的 加 密 算法 是 公开 的 ,保密 性 取决 于 对 密 钥 的 保密 。DES 是 一 个 分 组 加 密 算法 ， 
分 组 长 度 为 64 位 , 密 钥 长 度 为 56 位 , 密 钥 是 任意 的 56 位 数 。 就 目前 计算 机 的 计算 能 力 而 
言 ,DES 不 能 抵抗 对 密 钥 的 穷 举 搜索 攻击 ,56 位 的 密 钥 穷 举 数量 是 72 亿 次 。 

(2) 对 称 密 钥 加 密 技术 的 典型 算法 3DES 

三 重 DES(3DES) 是 DES 的 增强 型 ,能 有 效 运行 168 位 密码 。 

(3) 对 称 密 钥 加 密 技 术 的 典型 算法 IDEA 

IDEA(International Data Encryption Algorithm, 国 际 数据 加 密 算法 ) 是 一 个 迭代 分 组 
密码 ,分 组 长 度 是 64 位 , 密 钥 长 度 为 128 位 。 

(4) 对 称 密 钥 加 密 技术 的 典型 算法 AES 

为 了 替换 安全 性 逐渐 减弱 的 DES 算法 ,2001 年 11 月 NIST 公布 Rijndael 数据 加 密 算 
法 作为 高 级 加 密 标准 AES。AES 的 密 钥 长 度 可 变 , 可 以 为 128 位 、192 位 或 256 位 ,数据 分 
组 长 度 也 可 以 指定 为 这 三 种 。AES 的 强度 至 少 和 三 重 DES 一 样 ,但 比 三 重 DES 更 快 。 


3. 对 称 加 密 算法 特点 分 析 

对 称 加 密 算 法 的 优点 是 加 密 处 理 简单 ,加 密 、 解 密 速 度 快 ; 在 硬件 加 密 的 实现 上 较 容 
易 , 成 本 也 较 低 。 例 如 ,思科 VPN 集中 器 高 端 产品 采用 的 是 基于 硬件 加 密 , 低 端 产品 采用 
的 是 软件 加 密 。 其 缺点 是 密 钥 管理 困难 ,无 法 实施 身份 源 认 证 。 比 如 ,有 个 用 户 想 实现 两 
两 加 密 通 信 ,每 一 方 至 少 要 保管 n 一 1 个 密 钥 , 当 用 户 量 增多 时 ,需要 保管 的 密 钥 数 更 多 。 


10.2.2 非 对 称 加 密 算法 及 其 应 用 


非 对 称 密 钥 加 密 算法 又 称 为 公 钥 和 私 钥 算法 ,其 特点 是 加 密 和 解密 使 用 不 同 的 密 钥 。 
发 送 端 用 接收 端的 公 钥 加 密 数 据 后 发 送 给 接收 端 , 接 收 端 用 自己 的 私 钥 解密 。 也 就 是 说 ,用 
公 钥 加 密 的 信息 只 能 用 与 该 公 钥 配 对 的 私 钥 才能 解密 ,用 私 钥 加 密 的 信息 只 能 用 与 给 定 私 
钥 配 对 的 公 钥 才能 解密 ,实现 了 对 源 的 身份 认证 。 因 此 , 非 对 称 加 密 算法 的 用 途 有 两 个 ,一 
是 发 送 保密 信息 ,不 知道 接收 者 私 钥 则 无 法 窃取 信息 ; 二 是 确认 发 送 者 的 身份 ,别人 不 知道 
发 送 者 的 私 钥 ,无 法 发 出 能 用 其 公 钥 解密 的 信息 ,因此 发 送 者 无 法 抵赖 。 目 前 主要 的 非 对 称 
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密 钥 算法 ( 公 钥 算法 ) 包 括 RSA 算法 .DSA 算法 .PKCS 算法 和 了 PGP 算法 等 。 


1. 常见 的 非 对 称 密 钥 加 密 技术 的 典型 算法 

(1) 非 对 称 密 钥 加 密 技术 的 典型 算法 RSA 

RSA( 算 法 以 发 明 者 Ron Rivest、Adi Shamir 和 Leonard Adleman 的 名 字 命 名 ) 公 钥 算 
法 基于 欧 拉 定 理 , 经 常 应 用 于 数字 签名 、 密 钥 管 理 和 身份 认证 等 方面 ,适用 于 数字 签名 和 密 
钥 交 换 。 该 算法 的 安全 性 建立 在 大 素数 分 解 的 基础 上 。 素 数 分 解 是 一 个 极其 困难 的 问题 。 

(2) 非 对 称 密 钥 加 密 技 术 的 典型 算法 DSA 

DSA 算法 仅 适用 于 数字 签名 。 路 由 器 配置 VPN 中 常用 的 非 对 称 加 密 算法 主要 是 
RSA 和 DEA。 这 两 种 算法 主要 用 于 数字 签名 , 即 进行 源 认 证 ,根本 原理 是 私 钥 加 密 签名 ， 
对 应 的 公 钥 进行 验证 。 

2. 非 对 称 密 钥 加 密 算法 的 特点 

非 对 称 密 钥 加 密 算法 解决 了 密 钥 管理 问题 ,通过 特有 的 密 钥 分 发 算法 ,使 得 当前 用 户 数 大 
幅度 增加 时 , 密 钥 数 增加 也 不 会 很 离谱 。 由 于 密 钥 事先 已 经 分 配 ,不 需要 在 通信 过 程 中 传输 ， 
安全 性 大 大 提高 ,并 且 它 具有 高 加 密 强 度 。 其 缺点 是 加 密 算法 复杂 ,加 密 、 解 密 的 速度 很 慢 。 


3. 非 对 称 加 密 算法 工具 软件 PGP 

PGP(Pretty Good Privacy) 是 信息 安全 传输 领域 的 加 密 软 件 , 技 术 上 采用 了 非 对 称 的 
公 钥 和 私 钥 加 密 算 法 。 软 件 的 主要 对 象 为 具有 一 定 商业 机 密 的 企业 ,政府 机 构 、 信 息 安全 工 
作 室 。PGP 最 初 的 设计 主要 是 用 于 邮件 加 密 , 如 今 发 展 到 可 以 加 密 文 件 ,文件 夹 ` 分 区 、 硬 
盘 , 甚 至 对 聊天 信息 进行 实时 加 密 , 只 要 双方 都 安装 了 PGP, 就 可 以 在 聊天 的 同时 进行 加 密 
或 解密 ,保证 聊天 信息 不 被 窃取 或 监视 。 


10.2.3 分 析 对 比 对 称 加 密 和 非 对 称 加 密 算法 


对 称 加 密 算法 具有 加 密 速度 快 、 运 行 时 占用 资源 少 等 特点 ; 非 对 称 加 密 算法 可 以 用 于 
密 钥 交换 , 密 钥 管理 安全 。 通 常 并 不 直接 使 用 非 对 称 加 密 技 术 ,因为 非 对 称 加 密 算 法 的 处 理 
速度 慢 很 多 , 当 有 大 量 数据 要 进行 加 密 处 理 时 会 降低 数据 的 传输 速率 ,但 用 非 对 称 加 密 算法 
加 密 一 个 对 称 密 钥 还 是 很 快 的 。 

常见 的 密 钥 分 发 技术 有 CA 技术 和 KDC 技术 。CA 技术 能 够 完成 公 钥 和 对 称 密 钥 的 
分 发 ,KDC 技术 用 于 对 称 密 钥 分 发 。 

EFS(Encrypting File System) 加 密 文件 系统 是 Windows XP/2003 等 系统 特有 的 实用 
功能 ,对 于 NTFS 卷 上 的 文件 和 数据 ,都 可 以 直接 加 密 保 存 。EFS 采用 扩展 的 数据 加 密 标 
准 (DESX)56 位 加 密 算法 。 加 密 的 方法 是 选中 NTFS 分 区 中 的 一 个 文件 ,然后 右 击 ; 选择 
“属性 ”命令 ,在 出 现 的 对 话 框 中 单 击 “ 常 规 ” 选 项 卡 , 然 后 单 击 “ 高 级 "按钮 ; 在 出 现 的 对 话 框 
中 选中 “加 密 内 存 以 便 保护 数据 ”选项 ,然后 单 击 “ 确 定 ” 按 钮 。 

也 可 使 用 cipher 命令 ,显示 或 更 改 NTFS 分 区 上 的 文件 的 加 密 。 例 如 ,如 果 想 加 密 
C 盘 下 的 GL 文件 夹 ,输入 “cipher /e C:\GL”; 解密 时 输入 “cipher /d C:\GL”。 

EFS 保护 文件 的 工作 原理 是 基于 非 对 称 公 钥 算法 和 对 称 公 钥 算 法 的 混合 算法 。 文 件 
使 用 对 称 算法 加 密 ; 文件 的 加 密 密 钥 使 用 用 户 证 书 的 公 钥 加 密 , 并 与 加 密 的 文件 一 起 存储 。 
用 户 的 私 钥 可 解密 出 文件 的 加 密 密 钥 ,然后 解密 文件 。 
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为 了 保证 数据 的 安全 ,最 好 能 在 加 密 文 件 之 后 立即 将 自己 的 密 钥 备份 出 来 ,特别 是 在 系 
统 重 装 之 前 ,一定 要 进行 如 下 操作 : 单 击 “ 开 始 ”>“ 运 行 " 菜 单项 ,在 出 现 的 对 话 框 中 输入 
“certmgr. msc”, 按 “Enter” 键 后 ,在 出 现 的 证书” 对话 框 中 依次 双击 展开 “证 书 ”>“ 当 前 用 
户 ”>“ 个 人 ”一 “证书” 选项 ,可 以 看 到 一 个 以 当前 的 用 户 名 为 名 称 的 证 书 。 右 击 该 证 书 , 在 
“所 有 任务 ”中 单 击 “ 导 出 ”并 选择 “导出 私 钥 ”, 导 出 的 证 书 将 是 一 个 以 pfx 为 后 级 的 文件 。 
当 用 户 的 密 钥 丢失 后 ,如 重 装 了 操作 系统 ,或 者 无 意 中 删除 了 某 个 账号 ,只 要 找到 之 前 导出 
的 pfx 文件 , 右 击 并 选择 “安装 Pfx”, 将 弹出 导入 向 导 , 按 照 导 入 向 导 的 指示 完成 操作 ,之 前 
加 密 的 数据 可 以 全 部 正确 打开 。 

注意 : 如 果 之 前 在 导出 证 书 时 选择 了 用 密码 保护 证 书 ,在 导入 证 书 时 就 需要 提供 正确 
的 密码 ,否则 将 不 能 继续 。 

目前 出 现 了 EFS 加 密 的 破解 软件 Advanced EFS Data Recovery(AEDR), 破 解 率 很 
高 。 但 这 对 于 重 装 C 盘 系 统 后 的 情况 不 适用 ,因为 它 破解 的 前 提 是 私 钥 在 当前 主机 系统 的 
硬盘 中 存在 ,或 者 有 备份 。 需 要 注意 的 是 ,因为 EFS 的 高 安全 性 ,如 果 用 户 操作 不 当 , 很 可 
能 导致 数据 丢失 。 


10.2.4 认证 技术 


认证 是 为 了 防止 恶意 者 的 主动 攻击 ,其 包括 检验 信息 的 真 伪 及 防止 信息 在 通信 过 程 中 
被 算 改 ,删除 .插入 、 伪 装 、 延 迟 和 重 放 等 。 认 证 主要 包括 三 个 方面 : 消息 认证 数字 签名 和 
身份 认证 。 消 息 认证 是 指 验 证 所 收 到 的 消息 确实 是 来 自 真正 的 发 送 方 ,并 且 是 未 被 修改 过 
的 ,也 可 以 验证 消息 的 顺序 和 及 时 性 。 消 息 认 证 不 一 定 是 实时 的 ,如 存储 系统 和 电子 邮件 系 
统 。 身 份 认 证 用 于 鉴别 用 户 的 身份 是 否 是 合法 用 户 , 常 用 的 方法 包括 口令 认证 、 持 证 认证 和 
生物 识别 。 国 际 电信 联盟 (ITU) 和 IETF 制定 了 认证 中 心 的 标准 ITU X. 509。 

账户 名 /口令 认证 方式 是 被 广泛 研究 和 使 用 的 一 种 身份 验证 方法 ,也 是 认证 系统 所 依赖 
的 一 种 最 实用 的 机 制 ,常用 于 操作 系统 登录 .Telnet 等 。 常 用 的 身份 认证 协议 主要 有 一 次 
一 密 机 制 .X.509 认证 协议 .Kerberos 认证 协议 等 。Kerberos 是 为 TCP/IP 网 络 设计 的 可 
信 第 三 方 鉴 别 协议 。Kerberos 基于 对 称 密 钥 机 制 ,一 般 采 用 DES 算法 ,也 可 以 采用 其 他 算 
法 。 在 Kerberos 模型 中 ,实体 是 位 于 网 络 上 的 客户 机 和 服务 器 。 客 户 机 可 以 是 用 户 , 也 可 
以 是 处 理事 务 所 需要 的 独立 的 软件 程序 。Kerberos 有 一 个 存 有 所 有 用 户 秘密 密 钥 的 数据 
库 。 对 于 每 个 用 户 而 言 ,秘密 密 钥 是 一 个 加 密 口 令 ( 即 加 密 以 后 的 用 户 密码 )。Kerberos 能 
提供 会 话 密 钥 ,只 供 一 台 客 户 机 和 一 台 服 务 器 (或 两 台 客 户 机 之 间 ) 使 用 。 会 话 密 钥 用 来 加 
密 双 方 间 的 通信 信息 ,通信 完毕 应 立即 销毁 。 常 见 的 散 列 函 数 有 MD5 和 SHA-1。MD5 算 
法 通过 填充 、 附 加、 初始 化 累加 器 .进行 主 循环 4 步 处 理 得 到 128 位 消息 摘要 。 安 全 哈 希 算 
法 (SHA-1) 用 于 产生 一 个 160 位 的 消息 摘要 。 


10.2.5 数字 证 书 技术 
数字 证 书 封装 了 用 户 自身 的 公 钥 等 信息 ,例如 X. 509 数字 证 书包 含 了 证 书 版 本 、 证 书 序列 
号 、 签 名 算法 标识 证书 有 效 期 .证 书 发 行商 名 字 、 证 书 主体 名 、 证 书 公 钥 信 息 和 数字 签名 等 元 
素 。 使 用 某 个 数字 证 书 对 数据 进行 加 密 , 就 是 使 用 该 数字 证 书 中 的 公 钥 对 数据 进行 加 密 。 
数字 签名 是 笔迹 签名 的 模拟 ,包括 了 消息 认证 函数 ,具有 的 性 质 包 括 : 必须 能 证 实 作者 
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签名 和 签名 的 日 期 及 事件 ,在 签名 时 必须 能 对 内 容 进行 鉴别 ,签名 必须 能 被 第 三 方 证 实 以 解 
决 争端 。 基 于 公 钥 密码 体制 和 基于 私 钥 密码 体制 都 可 以 获得 数字 签名 ,目前 主要 是 基于 公 钥 
密码 体制 的 数字 签名 。 利 用 公 钥 密码 体制 ,数字 签名 是 一 个 加 密 的 消息 摘要 ,附加 在 消息 的 后 
面 。 基 于 公 钥 密码 体制 的 数字 签名 是 指 以 用 户 的 私 钥 作为 加 密 密 钥 ,以 公 钥 作为 解密 密 钥 ,从 


而 实现 由 一 


个 用 户 加 密 的 消息 能 够 被 多 个 用 户 解读 , 且 发 送 方 无 法 否认 自己 所 发 送 的 信息 。 


广泛 使 用 的 安全 电子 邮件 技术 包括 PGP 和 S/MIME( 安 全 /通用 Internet 邮件 扩充 ) 。 
摘要 函数 是 安全 电子 邮件 实现 技术 之 一 。 一 个 好 的 摘要 函数 具有 如 下 特点 : 根据 输入 报 文 
获取 其 输出 摘要 的 时 间 非 常 短 ,根据 输入 数据 无 法 还 原 出 输入 数据 ,不 同 长 度 的 输入 报 文 计 
算出 的 摘要 长 度 相同 。 


103 方案 设计 


方案 设计 如 表 10-1 所 示 。 


任务 名 称 


表 10-1 方案 设计 
数据 加 密 技 术 的 使 用 


任务 分 解 


1. PGP 系统 安装 

(1) 软件 安装 

(2) 密 钥 对 的 生成 和 查看 

(3) 重新 创建 密 钥 对 

(4) 导出 并 发 布 自己 的 公 钥 

(5) 导入 并 设置 其 他 人 的 公 钥 
2. 使 用 PGP 系统 加 密 数据 文件 
(1) 加 密 和 解密 

(2) 签名 和 验证 

(3) 加 密 和 签名 

3. 使 用 PGP 系统 加 密 邮 件 

(1) 加 密 和 签名 

(2) 解密 和 验证 签名 

4. 使 用 PGP 系统 加 密 本 地 硬盘 
(1) 创建 加 密 磁 盘 

(2) 加 载 加 密 磁 盘 

(3) 印 载 加 密 磁盘 


能 力 目标 


. 能 安装 PGP 系统 

. 能 生成 和 查看 公 钥 和 私 钥 

.能 重新 创建 密 钥 对 

. 能 导出 并 发 布 自己 的 公 钥 

. 能 导入 其 他 人 的 公 钥 ,并 设置 公 钥 属性 来 获得 信任 关系 

. 能 使 用 PGP 系统 加 密 和 解密 文件 

. 能 对 文件 进行 签名 和 签名 验证 

. 能 使 用 PGP 系统 加 密 和 签名 邮件 

. 能 使 用 PGP 系统 解密 和 验证 签名 邮件 

10. 能 使 用 PGP 系统 创建 加 密 磁 盘 、 加 载 加 密 磁 盘 和 印 载 加 密 磁 盘 


CoN rr- 
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知识 目标 


续 表 


. 掌握 密码 学 的 有 关 概 念 

. 了 解 常见 的 古典 密码 加 密 技 术 

.理解 对 称 加 密 算法 和 非 对 称 加 密 算法 的 基本 思想 以 及 两 者 的 区 别 

. 了 解 对 称 密 钥 加 密 技术 的 典型 算法 DES、3DES、IDEA 和 AES 

. 熟悉 对 称 加 密 算 法 的 特点 和 优 、 缺 点 

. 了 解 非 对 称 加 密 技术 的 典型 算法 RSA 

. 熟悉 非 对 称 加 密 算法 的 特点 和 优 、 缺 点 

. 了 解 非 对 称 加 密 算法 攻击 软件 PGP 加 密 系统 的 工作 原理 、 密 钥 的 生产 和 管理 方法 以 及 各 
种 典型 的 应 用 

9. 理解 PGP 加 密 系 统 中 密 钥 信任 关系 的 传递 特性 

10. 了 解 非 对 称 密 钥 算法 和 对 称 密 钥 算法 的 混合 算法 EFS 的 工作 原理 

11. 熟悉 EFS 加 密 文件 系统 的 使 用 方法 


oo Da 和 own 


素质 目标 


10.4.1 


1. 树立 较 强 的 安全 意识 

2. 掌握 网 络 安全 行业 的 基本 情况 

3. 培养 良好 的 职业 道德 

4. 培养 职业 兴趣 ,以 及 爱 岗 敬业 、 热 情 主动 的 工作 态度 
5. 具有 可 持续 发 展 能 力 


104 任务 实施 
任务 1: PGP 系统 安装 


1. 任务 目标 
安装 PGP 系统 。 


2, 工作 任务 

(1) 软件 安装 ; 

(2) 密 钥 对 的 生成 和 查看 ; 

(3) 重新 创建 密 钥 对 ; 

(4) 导出 并 发 布 自己 的 公 

(5) 导入 并 设置 其 他 人 的 公 钥 。 


3. 工作 环境 
(1) 两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相 连 。 
(2) 软件 工具 : PGP 加 密 软件 。 


4. 实施 过 程 

(1) 软件 安装 

软件 的 安装 很 简单 ,具体 步骤 如 下 : 

@ 双击 或 运行 安装 程序 ,进入 安装 界面 ,将 显示 欢迎 信息 ,然后 单 击 *Next” 按 钮 。 

@ 在 弹出 的 许可 协议 窗口 ,阅读 后 选择 接受 , 单 击 “*Yes” 按 钮 。 继 续 单 击 “Next” 按 钮 ， 
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出 现 创建 用 户 类 型 的 界面 ,再 单 击 ^Next” 按 钮 。 
@ 安装 程序 提示 用 户 是 否 已 经 有 密 钥 。 如 果 安 装 过 PGP, 可 能 在 计算 机 中 存在 密 钥 ; 
如 果 没 有 安装 过 ,选择 “No,I"m a New User”, 如 图 10-1 所 示 。 


PGP 8.1 x| 
User Type 
Please tell us Ff you have existing PGP Keyrings you'd ke to use. ES 


Do you aheady have PGP keyings you would lke to use? 


CYes,| aheady have keyrings. 
© No ImaNewUsed 


Pop com 


a FE en | 


10-1 用 户 类 型 的 选择 


@ 单 击 *Next" 按 钮 ,出现 程序 的 安装 目录 。 建 议 将 PGP 安装 在 安装 程序 默认 的 目录 ， 
即 系统 盘 中 。 

@ 继续 单 击 “Next” 按 钮 ,出 现 选 择 PGP 组 件 的 窗口 ,安装 程序 会 支持 系统 内 所 安装 的 
程序 。 如 果 存在 PGP 可 以 支持 的 程序 , 它 将 自动 选中 该 支持 组 件 ,如 图 10-2 所 示 。 


PGP 8.1 | 
Select Components S 
Choose the components Setup wil nstall JS 


三 Desctpion 

{[ 芳 PEPmallolco his component includes the 
TI PGPma for Microsoft Outlook ni PGPdisk 

全国 | PGPmai for Microsoft Outlook Express me ewe, 


DE PGPmai for Qualcomm Eudora 
[和 PGPmal tot Groupwise 


Space Requied on C: 12120K 
Space Avalable on C: 6929392K 


popcom 


Le le |] co 


10-2 “Select Components” 对 话 框 


@ 按 提示 单 击 *Next” 按 钮 ,重启 系统 即 完成 安装 。 

〇 重启 后 ,系统 会 启动 PGP 许可 验证 ,PGP 已 经 在 “开始 ”>“ 程 序 ”>“ 启 动 * 中 加 入 了 
启动 项 。 在 “PGP License Authorization” 认 证 对 话 框 中 输入 “Name”“Organization”、 
“License Number” 等 信息 ,然后 单 击 “Manual” 按 钮 。 在 文本 框 内 输入 “License Authorization” 信 
息 , 单 击 *Authorize” 按 钮 完成 注册 ; 也 可 以 选择 试用 , 即 什 么 信息 都 不 填 , 直 接 单 击 “Later” 
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按钮 。 

弹出 *PGP License” 窗 口 , 单 击 “*OK” 按 钮 。 至 此 ,PGP 系统 安装 完毕 。 

(2) 密 钥 对 的 生成 和 查看 

@O 安装 完成 并 重新 启动 系统 后 ,会 出 现 “PGP Key Generation Wizard” 即 “ 密 钥 生成 向 
导 ” 对 话 框 ,要 求 输入 用 户 全 名 和 邮箱 地 址 ,如 图 10-3 所 示 。 这 里 不 需要 输入 真实 的 名 称 ， 
但 是 输入 一 个 其 他 人 看 得 懂 的 名 字 ,能 使 他 们 在 加 密 时 很 快 找到 想 要 的 密 钥 。 


PGP Key Generation Wizard x| 
Name and Email Assignment 


Evety key pai must have a name associated with 让 The name and email address lt 
‘your correspondents know 由 at the public key they are using belongs to you 


Ednme 上 刁 


By associating an email address with your key pai you wil enable PGP to assist your 
comespondents in selecting the corect public key when communicating whh you. 


Emailaddess |elesdpt conl 


《上 - 步 如 [下 一 步 如 取消 
10-3 个 人 信息 填写 


@ 单 击 “ 下 一 步 " 按 钮 ,弹出 的 对 话 框 要 求 输入 用 于 保护 私 钥 的 密码 。 此 密码 长 度 建议 
在 8 位 以 上 ,并 要 求 确认 , 即 重 复 一 遍 , 即 在 “Passphrase” 处 输入 密码 ,“Confirmation” 处 重 
复 一 遍 输 入 的 密码 。 右 上 角 的 “Hide Typing ”被 选中 , 则 输入 的 密码 不 会 显示 出 来 ,如 图 10-4 
所 示 。 为 了 方便 记忆 ,可 以 用 一 句 话 作 为 密码 。 


PGP Key Generation Wizard x| 


Passphrase Assignment 
Your pivate key wl be prokected by a passphrase. lie nportant tnat you keep this 
passphiase sectet and do not wite idown 


Your passphtase should be at least 8 characters long and should contan 
norralphabetic charactefs 


厂 Hide Typng 


让 | 


Passphrase Qualty. mm 


Confrmation 剖 


《< 上-- 步 四 [下 - 步 mg 让 取消 


图 10-4 保护 私 钥 的 密码 设置 


@ 进入 “Key Generation Progress” 即 密 钥 生成 阶段 ,等 待 主 密 钥 (Key) 和 次 密 钥 
(Subkey) 生 成 完毕 (Done) ,然后 单 击 “ 下 一 步 ” 按 钮 。 
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@ 继续 单 击 “ 下 一 步 ”按钮 .进入 “Completing the PGP Key Generation Wizard”, 即 完 
成 该 PGP 密 钥 生成 向 导 。 再 次 单 击 “ 完 成 按钮 , 密 钥 被 创建 并 设置 好 。 

@ 通过 “开始 ”程序 中 的 PGP 启动 *PGPKeys”, 可 以 看 到 已 经 创建 好 的 密 钥 及 其 基本 
信息 ,例如 Validity( 有 效 性 ,PGP 系统 检查 是 否 符合 要 求 ,符合 就 显示 为 绿色 ,否则 为 灰 
色 )、Trust( 信 任 度 )、Size( 大 小 )、Description (描述 )、Key ID( 密 钥 ID)、Creation (创建 时 
间 ) .Expiration( 到 期 时 间 ) 等 ,如 图 10-5 所 示 。 

Tr PGPkeys -|olx 


Ele Edt View Keys Server Goups Hep 


站 | 者 多 司 | 只 之 它 旭 | 书目 
[rel| 


日 缠 缮 《el@esdpt. con> i 2048/1024 = DH/DSS key pair 
BE a esdpt. com> Vser ID 


0 a alsdpt. con) DSS exportsble sienature 局 
» 
4 


| 1 key(e) selected 


图 10-5 “PGPkeys” 窗 口 


@ 布 击 密 钥 gl 的 “Key properties” 菜 单项 ,可 以 在 一 个 窗口 中 看 到 所 有 属性 ,如 图 10-6 
所 示 。 


gl <gl@sdpt,com> 了 |x| 


10-6 ” 密 钥 属 性 查看 


(3) 重新 创建 密 钥 对 

单 击 PGP 程序 窗口 中 “Keys” 菜 单 中 的 “New Key” 菜 单项 ,可 以 重新 生成 一 对 密 钥 , 即 
公 和 钥 和 私 钥 对 (Key pair) ,如 图 10-7 所 示 。 

(4) 导出 并 发 布 自己 的 公 钥 

通过 PGP 程序 窗口 中 的 “Keys” 菜 单 , 选 择 “Export” 选 项 ,可 以 导出 当前 选中 的 密 钥 对 
中 的 公 钥 。 需 要 注意 的 是 ,一 个 用 户 对 应 的 密 钥 以 * 密 钥 对 ”的 形式 存在 ,其 中 包含 了 一 个 公 
钥 和 一 个 私 钥 。 公 钥 可 以 分 发 给 任何 人 ,其 他 人 可 以 用 此 密 钥 对 要 发 给 此 密 钥 拥有 者 的 文 
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Eile Edit View | keys Server Groups Hep 


3| 旱 罗 年 |， son [a 


Setas Defaultkey CrHD 
add 
Ea ee eoe 

ao 
REV 
Reverlfy Sionatures 
New Key... CoHN 
Share Split, 


Tmport... CrrHM 
ET CHIE 


i 2046/1024 DIVDSS key psir 
Vser 匡 
TSS exportable signature 


Properties, 


10-7 重新 创建 密 钥 对 


件 或 邮件 进行 加 密 。 私 钥 只 有 此 密 钥 的 拥有 者 一 人 所 有 ,不 可 公开 分 发 ,此 密 钥 用 来 解密 所 
有 用 此 密 钥 拥有 者 的 公 钥 加 密 的 文件 或 邮件 。 如 果 在 导出 到 文件 的 窗口 下 面 选中 “Include 
Private Key”, 则 导出 了 公 钥 和 私 钥 。 一 般 情况 下 ,不 需要 导出 私 钥 。 

导出 公 钥 的 具体 操作 步骤 如 下 : 

a 右 击 窗口 中 的 密 钥 对 ,在 弹出 的 快捷 菜单 中 选择 “Export...( 导 出 )”。 

@ 在 弹出 的 保存 对 话 框 中 ,确认 只 选中 了 “Include 6. 0 Extensions( 包 含 6.0 公 钥 )”， 
然后 选择 一 个 目录 作为 导出 公 钥 存放 的 目录 ,最 后 单 击 “ 保 存 ” 按 钮 ,如 图 10-8 所 示 。 


本 到 
保 放 在 Q: [DRWAe | OP 


PGP 


Nm 


保存 类 型 Ds [AscIT Key File (e ac) = 取消 
厂 Inelude Private Keyfa 


5 Incude50Exensions 


图 10-8 导出 密 钥 


@ 导出 公 钥 ,扩展 名 是 . asc。 

导出 后 ,可 以 将 此 公 钥 发 布 出 去 ,发 给 通信 的 对 方 。 当 有 重要 的 文件 或 邮件 时 ,对 方 通 
过 PGP 使 用 此 公 钥 加 密 后 发 回来 ,这 样 能 防止 隐私 或 商业 机 密 被 窃取 ,即便 被 截获 也 很 难 
解密 。 

(5) 导入 并 设置 其 他 人 的 公 

导入 公 钥 的 方法 如 下 : 

Q@ 直接 双击 对 方 发 来 的 扩展 名 为 . asc 的 公 钥 ,将 会 出 现 选 择 公 钥 的 窗口 ,在 此 能 看 到 
该 公 钥 的 基本 信息 ,包括 有 效 性 、 创 建 时 间 , 信 任 度 等 ,便于 了 解 是 否 应 该 导入 此 公 钥 。 

@ 选 好 后 , 单 击 “Import”( 导 入 ) 按 钮 , 即 可 把 公 钥 导入 到 PGP 中 。 
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导入 其 他 人 的 公 钥 后 ,显示 “无 效 的 "并且 是 “不 可 信任 的 ”, 表 示 新 导入 的 公 钥 还 没有 得 
认可 。 Ey 


公 铀 ; 
到 用 户 的 认可 。 如 果 确 信 这 个 公 钥 是 正确 的 , 即 没 有 被 第 三 方 伪 装 或 自 改 ,可 以 通过 设置 公 
钥 属 性 来 使 之 获得 信任 关系 。 


设置 公 钥 属性 的 方法 如 下 : 


Q@ 打开 *PGPkeys” 对 话 框 ,在 密 钥 列表 中 看 到 刚刚 导入 的 密 钥 。 选 中 后 右 击 ,然后 
择 “Key Properties”( 密 钥 属 性 ) ,在 这 里 能 看 到 该 密 钥 的 全 部 信息 


@ 直接 拉动 *Untrusted( 不 信任 的 )” 的 滑 块 到 “Trusted( 信 任 的)”, 将 出 现 错误 信息 ， 
如 图 10-9 所 示 。 


GP Information x| 
站) Ths san invald key. Modifying the trust on this key 's not allowed 
Since trust settings on invalid keys have no effect 


图 10-9 错误 提示 
G 正确 的 做 法 是 关闭 此 对 话 框 ,然后 在 该 密 钥 上 布 击 ,再 选择 “Sign (签名)”, 打 开 
“PGP Sign Key” 对 话 框 ,如 图 10-10 所 示 。 


GP Sign Key ?|x| 
By signing the selected user ID| eet 
afd tahed user Dis] actualy belong to fie identiied userls] 
Bolore tying meke sre th keyts] were Gven to you in soour mormer by the oer or you have verfiod tho 
ingerprint with 
Key/User Name 


固 zmc <zmc@sdpt.com> 


| Fingerprint 


E5CB 0296 AAA8 F417 DASC DA92 462D 68D3 3FCD 3F37 


到 
| Blow signature to be exported. Others may rely upon your signature] 


Ce ] gma | He | 


图 10-10 对 新 导入 的 公 钥 进行 签名 


@ 在 出 现 的 “PGP Sign Key”(PGP 密 钥 签名 ) 对话 框 中 选中 要 签名 的 公 钥 ,并 选中 
“Allow signature to be exported. Others may rely upon your signature” ,然后 单 击 “OK” 
按钮 。 


@ 弹出 要 求 为 该 公 钥 输入 Passphrase 的 对 话 框 ,这 时 要 输入 设置 用 户 时 的 那个 密码 ， 
然后 单 击 "OK” 按 钮 ,完成 签名 操作 ,如 图 10-11 所 示 。 


PGP Enter Passphrase for Selectede 了 xj 
Sgngkey [a caxat com> mss/io24) 了 
Bassphrase of signing key- 厂 Hide Typing 
到 


Cr] em | 


10-11 输入 密码 
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@ 此 时 ,在 *PGPkeys? 对 话 框 中 ,该 公 钥 变 成 “有 效 的 ”, 即 在 “Validity” 栏 出 现 绿色 贺 
球 标志 ,如 图 10-12 所 示 。 此 时 该 公 钥 是 “不 可 信任 的 ”, 需 要 对 其 赋予 完全 信任 关系 。 


-I9|x| 
Ele Edt View Keys Server Groups Hep 

涩 区 罗 加 | 人 时 史明 | 上 因 
| voity rs [size [Description 


回 纺 《elesdpt. con》 电 a 2048/1024 DIVISS key pair 
田 Bm me 《mecsstpt con》 © 


Co 2048/1024 DH/DSS public key 
了 
» 


4 


10-12 签名 后 的 公 钥 状态 


@ 右 击 该 公 钥 ,然后 选择 “Key Properties”( 密 钥 属 性 ) ,将 “Untrusted”( 不 信任 的 ) 处 
的 滑 块 拉 到 “Trusted”( 信 任 的 ) 处 ,再 单 击 “ 关 闭 ” Jaanwaaa 
按钮 ,如 图 10-13 所 示 。 这 时 , 密 钥 列表 里 的 公 钥 。 we ue = [ee | 
“Trust”( 信 任 度 ) 处 变 成 一 个 实心 栏 ,说 明 该 公 钥 
被 PGP 加 密 系 统 正式 接受 ,可 以 投入 使 用 了 ,如 图 10-13 对 密 钥 赋予 信任 关系 
图 10-14 所 示 。 


[Wr PGPkeys | 
Ele Edt Yiew Keys Server Groups Hep 

当 | 哮 罗 知 | 人 里 号 他 | 久 因 
其 


ay Validity 
田 暗 《<elesdpt. con> 电 i 2048/1024 DIVISS key pair 
困 骂 me 《zmeBsdpt_ con> 7] 


IE 2048/1024 DN/DSS publie key 
可 


| | 4 


10-14 ”签名 并 赋予 完全 信任 关系 后 的 公 钥 


10.4.2 任务 2: 使 用 PGP 系统 加 密 数 据 文件 


1. 任务 目标 

使 用 PGP 对 数据 文件 进行 加 密 、 签 名 的 操作 原理 是 选择 对 方 的 公 钥 进行 加 密 , 而 使 用 
自己 的 私 钥 进行 签名 ; 对 方 收 到 后 ,使 用 自己 的 私 钥 进 行 解密 ,使 用 对 方 的 公 钥 进行 签名 
验证 。 

2, 工作 任务 

(1) 加 密 和 解密 ; 

(2) 签名 和 验证 ; 

(3) 加 密 和 签名 。 


3. 工作 环境 
(1) 两 台 预 装 Windows Server 2003/XP 的 主机 。 
(2) 软件 工具 : PGP 加 密 软 件 。 


王 作 任务 十 数据 加 密 技术 的 使 用 


4. 实施 过 程 
(1) 加 密 和 解密 
使 用 PGP 对 文件 加 密 非常 简单 ,具体 操作 如 下 : 


@ 右 击 需要 加 密 的 数据 文件 ,然后 选择 快捷 菜单 中 PGP 的 Encrypt 命令 ,弹出 如 
图 10-15 所 示 对 话 框 。 


Wm PGPshell - Key Selection Dialog ?1x| 
[Drag users fom this lst to he Recipients lst [valdiy| see | 
Eeme <zmc@sdpt com> © 2048/1024 | 
[Repens [vaidy| see | 
加 gl <glGsdptcom> 蚀 。 2048/1024 

有 [Ea ed 

厂 Inputls Text 

厂 Wipe orignal 

厂 conventional Encryption 

厂 Self Decrypting Archive 


图 10-15 “选择 密 钥 "对话 框 


@ 在 弹出 的 “Key Selection Dialog” 对 话 框 中 ,选择 对 方 的 密 钥 ,双击 使 其 加 到 下 面 的 
“Recipients” 框 中 ,即使 用 公 钥 加 密 , 然 后 单 击 “*OK” 按 钮 ,如 图 10-16 所 示 。 


wm PGPshell - Key Selection Dialog 


Drag users fom this list to the Recipients lt [vaidry[ see | 


[Repens [vadu| 
Ejgl <glGsdptcom> 电 ”2048/1024 
Ejzmc <zmcGsdptcom> © 2048/1024 


Ce ] cme | te | 


图 10-16 ”选择 加 密 的 公 钥 


@ 加 密 后 产生 一 个 扩展 名 为 . pgp 的 文件 。 
图 对 方 收 到 加 密 的 扩展 名 为 . pgp 的 文件 后 ,双击 该 文件 ,或 右 击 该 文件 ,并 选择 快捷 
菜单 中 PGP 的 Decrypt 命令 ,然后 在 对 话 框 中 输入 密码 ,即使 用 私 钥 解 密 。 
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(2) 签名 和 验证 了 到 

Q@ 如 果 要 对 文件 进行 签名 , 右 击 需要 签名 Eee [a Coote ew> ps 图 
的 文件 ,然后 选择 快捷 菜单 中 PGP 的 Sign 命 Fe 
令 ,弹出 如 图 10-17 所 示 对 话 框 。 

@ 输入 自己 私 钥 的 密码 ,签名 后 产生 扩展 E am 
名 为 .sig 的 文件 。 ee 


@ 对 方 把 公 钥 导入 ,并 把 公 ee 三 moutlsTett 
成 “有 效 的 “可 信任 的 ”, 详 见 10. 4. 1 小 节 
入 并 设置 其 他 人 的 公 钥 "任务 说 明 。 

@ 对 方 导入 并 设置 完 公 钥 后 进行 签名 验证 。 签 名 验证 成 功 ,显示 如 图 10-18 所 示 对 话 
框 ,从 中 可 以 看 到 签名 状态 是 否 完好 。 


PP 


2 edrtx com> Ox83A9... Es 2011-8-7 rE 09 12 


图 10-17 使 用 PGP 对 文件 进行 签名 


加 
10-18 使 用 PGP 成 功 对 文件 进行 签名 验证 


@ 如 果 文 件 在 传送 过 程 中 被 第 三 方 伪装 或 算 改 , 则 签名 验证 不 成 功 ,显示 为 “Bad 
Signature” 。 

@ 如 果 对 方 没有 对 公 钥 进行 签名 并 赋予 完全 信任 关系 ,那么 验证 签名 后 会 在 
“Validity” 栏 显示 一 个 灰色 的 图 标 , 如 图 10-19 所 示 ,表示 该 签名 验证 无 效 。 


PP 
> 


| <ooerpt om> Da 20116.7 19.09:12 (inw... 


图 10-19 没有 对 公 钥 进行 签名 并 赋予 完全 信任 关系 时 验证 文件 签名 情况 


需要 特别 注意 的 是 ,将 签名 后 的 . sig 文件 传送 给 对 方 的 同时 ,必须 将 原始 文件 也 传送 给 
他 ,否则 签名 验证 将 无 法 完成 。 这 是 因为 PGP 签名 时 只 对 原始 文件 的 摘要 进行 签名 ,对方 
打开 . sig 文件 时 解密 得 到 一 个 摘要 ,还 要 和 从 原始 文件 算出 的 另 一 个 摘要 进行 比较 ,如 果 这 
两 个 摘要 相同 ,才能 打开 . sig 文件 ,表示 签名 验证 成 功 。 

(3) 加 密 和 签名 

如 果 对 文件 同时 进行 加 密 和 签名 ,需要 选择 对 方 的 公 钥 进行 加 密 , 同 时 用 自己 的 私 钥 对 
文件 进行 签名 。 


10.4.3 任务 3: 使 用 PGP 系统 加 密 邮件 


1. 任务 目标 
使 用 PGP 对 邮件 内 容 进行 加 密 、 签 名 的 操作 原理 和 对 文件 的 加 密 、 签 名 是 一 样 的 ,都 是 
选择 对 方 的 公 钥 进行 加 密 , 而 使 用 自己 的 私 钥 进 行 签名 ; 对 方 收 到 后 ,使 用 自己 的 私 钥 进行 


壬 作 任 务 十 数据 加 密 技术 的 使 用 


解密 ,而 使 用 对 方 的 公 钥 进行 签名 验证 。 
2. 工作 任务 


(1) 加 密 和 签名 ; 
(2) 解密 和 验证 签名 。 


3. 工作 环境 
(1) 两 台 预 装 Windows Server 2003/XP 的 主机 。 
(2) 软件 工具 : PGP 加 密 软件 。 


4. 实施 过 程 

(1) 加 密 和 签名 

Oa 将 需要 加 密 、 签 名 的 邮件 内 容 复制 到 剪贴 板 上 ,然后 选择 操作 系统 右 下 角 PGP 图 标 
中 的 “Clipboard”>“Encrypt & Sign 命令 ,如 图 10-20 所 示 。 

@ 在 弹出 的 “Key Selection Dialog” 对 话 框 中 ,选择 对 方 的 密 钥 ,双击 使 其 加 到 下 面 的 
“Recipients” 框 中 即 可 ,即使 用 对 方 的 公 钥 加 密 ,然后 单 击 *OK” 按 钮 ,如 图 10-21 所 示 。 


Wm PGPtray - Key Selection Dialog 下 x| 
人 Users from this llst to the Reciplents list [vay 
Emc <zmcGedptcom> Er J 
国 日 日 
Hide 
Lome Recpents vald See 
bep gl <gl@sdpt.com> 电 ”2048/1024 
Biroe Cahes 
总 PoPdisk Cancel Help 
Sr a mr ee | 
5] PGPmall 厂 conventional Encryption 
Current Window 上 


图 10-20 剪贴 板 的 加 密 签名 操作 图 10-21 使 用 公 钥 加 密 


@ 在 弹出 的 “Enter Passphrase” 对 话 框 中 输入 自己 私 钥 的 密码 ,进行 签名 ,如 图 10-22 
所 示 。PGP 会 将 加 密 和 签名 的 结果 自动 更 新 到 剪贴 板 中 。 


PGPtray - Enter Passphrase 耻 x| 
Sonokw:[a < 四 8sdpt. com》 DSS/1024) 司 
Enter passphrase for above key: 厂 Hide Tepng 
| 


Ce | ee | 


图 10-22 使 用 私 钥 的 密码 签名 
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@ 回 到 邮件 编辑 状态 ,只 需要 将 剪贴 板 的 内 容 粘 贴 过 来 ,就 会 得 到 加 密 和 签名 后 的 邮 
件 , 如 图 10-23 所 示 。 


Uersion: PEP 8.1 - not licensed for connercial use: www-pgp-com 


yANQR 1DBwUAD/ FHuF 6y1b200CADd1p S22qTknfxRnxwgalSkxgD7Bpz7us9u20Xa 
JHUBUGY+ uBHz22SVLalChuBBAQGHMY dUFPaQ3U2 LsgQtevbdyrNOuRXxP7/y7g8d 
/1I4y1Gv16KoW aBSQMK3ML SdUSDuFuiNHe jxAPUFNROQUyuUH+/ GNabc unsF ON 
[GHCSuFPAL7QAFwRpTFEEDIUQdcpbGE1/ cA/C2kS1HHGJONHRL13CL OrNGHh1Skm 
z18pzxkHSHMDdqMSrBJ1X5uUWU3Us5azhBHjS5RFuaBhJugHOy2LuBZBKe9EYy7s 
sonqsoC*7M*T1jtqce73X3JEbUNtx3USTiykob*jJgHnFnBCRDX2UxaB/Re3n*J 
qmtaazkKwDzqgwhi3c8ts/T12ex618BMTuEP33105a917j52*lehWtGpus6baPetdr 
eRPha8a5UfbG5zRj3H8huhfSsQhWzxytj/fwFyyloaneQXhTj6PnaF89fIabGubn 
ap7ormuocBxHb1RB/LwisjiphBokRctw1zUudayWewqrgu/zwJnC9HNxF3QhTsuUz 
kjk3cyiygocN5jyPasdHxkzBLo0eJj*iL//wfnplcd5PHe0Xs/yrudJIAPLVUE39 
Ik1x4381xaMel/tnQ* @H7FP3086daPF 95859qmXdchGqcaCBCgIQ5TSuhpq9GAL54 
L3849cxQucFOA1ihnn tyoAAMEAF+ JxuHpTxEk1aj16DeZ1Cy1pJGTDoCuan/RSkj 
iibiue0JsF51t5q3ILHyguzsnM/C9571RD*7rux*6jcqnxXWzxYFscohJ99cSa/muh 
9osgurTWhqkaqhcteakFBt9RBLuXhtpUou/tF203x10bURBFQgsHE1JHzgoi59Pw 
INT6PzY9uUChupX8by7S8etCL bANFKM7HMTDguF uMgQYG3HE/xdXdEDx18EMyPP2P 
ec9u7kYp0sizn/UtbcNrhozbeP5p1ak9hoELchjynwHpguHbeoTZ90UgntSifmesn 
dF/DkXPaR79dNhsg+2dHckHB6zzh/BkuUrFj2ijlz/Yusykc309gn3qT7brnt*FhJ 
mweyjs1xnqzL1HTxalxcCarBXF1uB1es7TqHSLy2Kokz0ygw8*YU25Rjdih6EbTc 
HDLXUahqwWTHVWQziuqaiP111mFEnhcf7uWCPYkzCSKbXaBYVCL8SkCP3nt2pdXn 
heIQsp79h1oVLTeR6d0hhakuq*UDDNSUKRD18ZcuuhLbgBoirnFhucY3gnWJCRit 
bBHmskta/bTteHz+jEN0gYuUguCdepPJpyhI+HHFusPR3hw5ytasQlht*WahMgPR7 
51Xa0gwLok3q2XNUE77j2MHFkiNgzaRHhtdnapbszzd/70wU75RbNDU2njcEGzkus 
/3ykEnXY6tKxhWQgoHMsDysc2teRxHYyBTNKNL92239gB9jbpzSnqlYuXjJQz2qP3 
SctcuRwFb610AFi7ixTmz*wCluMH358PQhDdu9bnVBENIEnbt6XpUMOjBGky*gLRm 
injuzzuyssK*F16aubr21nfhCnMH5tGDFaqC969/t7cjnuuauGeydngbkwJFf2y3nq 
8zeFXErC+*H5d@86iBbeQEHUPJ53L5teuU99u/w9TIH5u9Hdu9tG9C1tSI 

MCS 


Parenl 四 
10-23 ”加 密 和 签名 后 的 邮件 内 容 


(2) 解密 和 验证 签名 
@ 对 方 收 到 加 密 和 签名 后 的 邮件 后 , 先 将 邮件 内 容 复 制 到 剪贴 板 中 ,然后 选择 操作 系 
统 右 下 角 PGP 图 标 中 的 “Clipboard”>“Decrypt & Verify” 命 令 ,将 弹出 输入 私 钥 密 码 的 提 
示 框 ,如 图 10-24 所 示 。 
@ 输入 私 钥 密码 进行 解密 和 导入 公 钥 验证 签名 完成 后 , PGP 会 自动 出 现 “Text 
Viewer” 窗 口 显示 结果 ,如 图 10-25 所 示 。 
了 xl 


Message was encrypted to the folowing pubic keyls) : 
后 “aastpt eon N2048) mn# PGP SIGNATURE VERIFICATION sa#* 
lemc CzncQsdpt. com> DH/2048) Status Good Signature 
Signer: gl <gl@sdpt .con> (0x83A93893) 
Signed: 2011-8-7 19:41:55 
Verified: 2011-8-7 19:51:20 
BEGIN PGP DECRYPTED/VERIFIED MESSAGE ww 


Enter passphrase for your pivate key FT 


学 习 奸 《网络 卖 全 部 署 》 的 关 健 是 勤学 多 统 ! 
xu# END PGP DECRYPTED/VERIFIED MESSAGE x### 


[Saptamcpap| 


Copy to Clipboard 


图 10-24 输入 私 钥 密 码 进 行 解密 图 10-25 显示 结果 


单 击 “Copy to Clipboard” 按 钮 ,将 结果 复制 到 剪贴 板 中 , 青 粘贴 到 需要 的 地 方 。 


10.4.4 ”任务 4: 使 用 PGP 系统 加 密 本 地 硬盘 


1. 任务 目标 
PGP 加 密 系 统 不 仅 可 以 对 文件 .邮件 加 密 .还 可 以 对 磁盘 加 密 ,将 需要 保密 的 数据 放 在 


壬 作 任 务 十 数据 加 密 技术 的 使 用 


PGP 加 密 磁 盘 中 。 即 使 数据 硬盘 被 偷 走 , 对 PGP 加 密 磁 盘 文 件 的 解密 也 存在 很 大 的 难度 ， 
保证 了 数据 的 机 密 性 。 下 面 介绍 使 用 PGP 系统 加 密 本 地 硬盘 的 方法 。 


2. 工作 任务 

(1) 创建 加 密 磁 盘 ; 
(2) 加 载 加 密 磁 盘 ; 
(3) 务 载 加 密 磁 盘 。 


3. 工作 环境 
(1) 一 台 预 装 Windows Server 2003/XP 的 主机 。 
(2) 软件 工具 : PGP 加 密 软件 。 


4. 实施 过 程 

(1) 创建 加 密 磁 盘 

@ 单 击 操作 系统 右 下 角 的 PGP 图 标 , 然 后 选择 “PGPdisk”>“New Disk” 命 令 ,启动 PGP 
加 密 磁盘 创建 向 导 ,如 图 10-26 所 示 。 注 意 ,如 果 PGP 软件 没有 注册 ,无 法 创建 加 密 磁 盘 。 

@ 在 “PGPdisk Creation Wizard” 欢 迎 界 面 中 , 单 击 “ 下 一 步 ” 按 钮 ,将 出 现 如 图 10-27 所 
示 对 话 框 ,确定 加 密 磁 盘 生 成 的 路 径 和 名 称 ,以 及 加 密 磁盘 的 大 小 。 


PGPdisk Creation Wizard ?xl 
PGPdisk Location and Size 
You must now speciy a location and size for your PGPdisk fle. You can also 
customize your PGPdisk further by clicking on Advanced Options. 
You have 6670 MB of fee space available. Note that the amount of fiee space on 
your lomatted PGPdisk wil be somewhat less than what you choose below. 


Choose alocatior: 


PGpdisk (BD) ; 
Mount Disk,.. F Advanced Dptions 


New Disk,.. 
Edit Disk,,. 


nmount AllDisks < 上 - 步 加 [5 加 习 了 | 。 天助 


10-26 ”使 用 PGP 构建 加 密 磁盘 10-27 ”确定 加 密 磁盘 存放 目录 和 大 小 


@ 选择 加 密 磁 盘 的 方法 ,使 用 公 钥 或 者 口令 加 密 。 这 里 选择 公 钥 加 密 , 如 图 10-28 
所 示 。 

@ 选择 一 个 设置 好 的 公 钥 用 于 加 密 磁盘 ,如 图 10-29 所 示 。 

@ 系统 需要 收集 一 些 随 机 数 以 生成 密 钥 来 加 密 磁盘 。 动 一 下 鼠标 开始 收集 随机 数 , 当 
随机 数 收集 至 100% 时 , 单 击 “ 下 一 步 ” 按 钮 。 

@ 单 击 “ 完 成 ”按钮 ,完成 磁盘 的 创建 。 

(2) 加 载 加 密 磁盘 

@ 创建 好 加 密 磁盘 后 ,可 以 在 “我 的 电脑 ”中 看 到 加 密 磁盘 “NEW PGPDISK(E:)”, 如 
图 10-30 所 示 。 


dL3 
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PGPdisk Creati 


PGPdisk Creation Wizard 


图 10-29 ”选择 加 密 磁盘 的 公 钥 


图 10-30 ”生成 的 加 密 磁盘 


@ 如 果 加 密 的 磁盘 被 卸载 ,看 不 到 了 .可 以 单 击 操作 系统 右 下 角 的 PGP 图 标 ,选择 
“PGPdisk”- Mount Disk” 命 令 来 加 载 磁 盘 , 如 图 10-31 所 示 。 
@ 加 载 时 ,需要 选择 加 载 的 PGPdisk ,如 图 10-32 所 示 。 


王 作 任务 十 数据 加 密 技术 的 使 用 


x 
查 按 范 围 中 :四 我 的 文档 可? 


局 Pop 


文件 各国。 [ew POPdisk Volune. ped 打开 人 @) ] 
交 件 类 型 Ts |PGPdisk Files (ped) 取消 
10-31 “PGPdisk” 菜 单 图 10-32 ”选择 需要 加 载 的 PGPdisk 


@ 输入 加 密 的 私 钥 ,生成 加 密 磁盘 ,如 图 10-33 所 示 。 

@ 直接 双击 加 密 磁盘 ,打开 加 密 磁盘 ,用 户 就 可 以 把 需要 保密 的 数据 放 在 该 磁盘 中 , 操 
作 方 法 与 普通 磁盘 一 样 。 

(3) 卸载 加 密 磁 盘 

如 果 暂 时 不 需要 对 加 密 磁 盘 中 的 数据 进行 操作 ,可 以 印 载 加 密 磁 盘 , 具 体 步骤 如 下 ， 

右 击 加 密 磁 盘 , 在 弹出 的 快捷 菜单 中 选择 *“PGP”->“Unmount PGPdisk” 命 令 , 如 
图 10-34 所 示 。 默 认 情 况 下 ,如 果 超 过 15 分 钟 没 有 对 加 密 磁 盘 进 行 操作 ,PGP 系统 自动 将 
加 密 磁 盘 印 载 。 


lelxl 
| 文件 中 ”编辑 E) 查看 收藏) 工具 0D 帮助 | 于 | 
[| 大 | 
硬盘 
吕 本 地 磁盘 (C:) Er 9.98058 
-| o97 MB 
有 可 秘 。 资源 管理 器 oO 
5 
动 cRME、 共享 和 安全 QD), S08 Me 
禾 添 加 到 压缩 文件 8),， 
x 下 生 加 下 werar 
mier PasspNrase 了 | x| 莉 压 纺 并 E-mail 
Enter a passphrase for "New PGPdisk Volume pgd" 履 压 缩 到 "Archiverar" 并 Emall 
下 re 格式 化 他 
tp [rz ,上 且 eu 
复制 Es 
创建 快捷 方式 G) 
重 命 名 (M) 
pions.. Eancsl , 属性 四 村 
10-33 ”输入 私 钥 的 密码 10-34” 印 载 加 密 磁盘 


105 常见 问题 解答 


车 在 PGP 系统 安装 时 ,弹出 如 图 10-35 所 示 窗 口 ,该 如 何 处 理 ? 
答 : 若 在 双击 或 运行 PGP 安装 程序 后 弹出 “安装 之 后 ”对 话 框 ,那么 先进 行 PGP 系统 
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的 安装 ,安装 完毕 后 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 10-36 所 示 对 话 框 。 待 PGP 系统 安装 结 
束 后 ,再 单 击 “ 完 成 ”按钮 ,安装 结束 之 前 不 要 单 击 按钮 。 


对 管理 员 安 装 完毕 x 


Pr SM 
钮 ! 


0 |T- SD »| RN mm 
图 10-35 “安装 之 后 ”窗口 图 10-36 “管理 员 安 装 完毕 ”窗口 
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一 、 选 择 题 
1. 数据 的 加 密 和 解密 是 对 数据 进行 的 某 种 变换 ,加密 和 解密 的 过 程 都 是 在 ( ) 的 控 
制 下 进行 的 。 
A. 明文 B. 密 文 C. 信息 D. 密 钥 


2. 下 面 说 法 正确 的 是 ( ji 
A. 信息 隐蔽 是 加 密 的 一 种 方法 
B. 没有 密 钥 ,只 要 知道 加 密 程序 的 细节 就 可 以 对 信息 进行 解密 
C. 密 钥 的 位 数 越 多 ,信息 的 安全 性 越 高 
D. 加 密 包括 对 称 加 密 和 非 对 称 加 密 两 种 
3. 公开 密 钥 算法 中 ,加 密 密 钥 即 ( Ye 
A. 解密 密 钥 B. 私密 密 钥 C. 公开 密 钥 D. 私有 密 钥 
4. 为 了 防止 冒名 发 送 数据 信息 或 发 送 后 不 承认 的 情况 出 现 , 采 取 的 方法 是 ( 过 
A. 数字 水 印 B. 数字 签名 C. 访问 控制 D. 发 电子 邮件 确认 
5. 数字 签名 技术 在 公开 密 钥 算法 中 的 应 用 是 发 送 端 采 用 ( ) 对 发 送 的 信息 进行 数 
字 签 名 ,在 接收 端 采 用 ( ) 进 行 签名 验证 。 
A. 发 送 者 的 公 钥 ”B. 发 送 者 的 私 钥 ”C. 接收 者 的 公 钥 “D. 接收 者 的 私 钥 
6. 采用 Kerberos 系统 进行 认证 时 ,可 以 在 报 文中 加 入 ( ) 来 防止 重 放 攻 击 。 


A. 会 话 密 钥 B. 时 间 截 C. 用 户 ID D. 私有 密 钥 
7. DES 是 一 种 ( ) 算 法 。 

A. 共享 密 铀 B. 公开 密 钥 C. 报 文摘 要 D. 访问 控制 
8. 安全 电子 邮件 协议 PGP 不 支持 ( Ys 

A. 确认 发 送 者 的 身份 B. 确认 电子 邮件 未 被 修改 


C. 防止 非 授 权 者 阅读 电子 邮件 D. 压缩 电子 邮件 大 小 
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二 , 填空 题 

1. 现实 中 通常 将 对 称 加 密 算 法 和 非 对 称 加 密 算 法 混合 起 来 使 用 ,使 用 算法 对 
要 发 送 的 数据 进行 加 密 , 其 密 钥 使 用 算法 进行 加 密 , 以 综合 发 挥 两 种 加 密 算法 的 

2. PGP 加 密 系统 不 仅 可 以 对 文件 数据 进行 加 密 , 还 可 以 对 等 进行 
加 密 。 

三 、 简 答题 


1. 简 述 DES 算法 的 基本 思想 。 

2. 使 用 PGP 加 密 系 统 对 文件 进行 签名 后 ,将 签名 后 的 . sig 文件 发 送 给 对 方 的 同时 ,为 
什么 还 要 发 送 原始 文件 给 对 方 ? 

四 、 实 操 题 

1. 利用 PGP 加 密 系 统 加 密 邮 件 。 

2. 利用 PGP 加 密 系统 进行 签名 和 验证 操作 。 
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[工作 三 务 十 一 
一 “nternet 信 息 服务 的 安全 设置 


11.1 用 户 需 求 与 分 析 


Internet 信息 服务 即 IIS, 是 一 个 用 于 配置 应 用 程序 池 或 网 站 、FTP 站 点 ,SMTP 或 
NNTP 站 点 的 工具 。 利 用 IIS 管理 器 ,网 络 安全 管理 员 可 以 配置 IIS 安全 ,性 能 和 可 靠 性 功 
能 ,可 添加 或 删除 站 点 ,启动 .停止 和 暂停 站 点 ,备份 和 还 原 服务 器 配置 ,创建 虚拟 目录 以 改 
善 内 容 管理 等 。 正 是 因为 IIS 具有 如 此 强大 的 功能 ,其 安全 问题 更 加 受到 人 们 的 重视 ,并 需 
要 设置 IIS 的 安全 来 保护 系统 中 的 数据 。 


112 预备 知识 


11.2.1 Web 的 安全 问题 


Web 服务 是 常用 的 网 络 服务 之 一 ,通过 IIS 可 以 搭建 信息 发 布 , 信 息 查询 .电子 商务 、 电 
子 政务 等 各 种 用 途 的 Web 网 站 。Web 站 点 的 基本 配置 及 其 含义 如 表 11-1 所 示 。 


表 11-1 Web 站 点 的 基本 配置 


选项 组 配 置 项 说 明 
说 明 显示 在 IIS 控制 台 的 名 称 , 以 区 别 各 个 站 点 
IP 地 址 Web 服务 器 对 外 服务 的 IP 地 址 
Web 站 点 TCP 端 Web 服务 器 服务 的 TCP 端口 号 ,默认 为 80。 若 更 改 ,访问 时 必须 
标识 在 URL 中 指出 
SSL 端口 号 使 用 安全 套 接 字 访 问 ( 用 https://) 的 端口 号 ,默认 为 443 
“高 级 ”按钮 除 修改 IP 地 址 、 端 口号 外 ,还 可 修改 站 点 的 主机 头 
无 限 对 同时 连接 站 点 的 用 户 数 不 做 限制 
限制 根据 实际 情况 限制 同时 连接 站 点 的 用 户 数量 
连接 连接 超时 如 果 用 户 在 规定 的 时 间 内 没有 和 Web 服务 器 进行 信息 交换 , 则 自 
动 中 断 此 用 户 的 连接 
启用 保持 HTTP 激活 | 允许 客户 端 保持 与 服务 器 的 开放 连接 
pe 日 志 用 来 记录 服务 器 的 访问 、 错 误 等 信息 ,需要 设置 日 志 格 式 \ 日 志 
| 人 用 本 允 用 生 记录 内 容 和 记录 方法 等 


另外 ,许多 基于 Web 管理 界面 的 其 他 网 络 服务 同样 需要 用 到 Web 服务 器 的 安全 ,例如 
邮件 服务 器 、 流 媒体 服务 器 等 。 因 此 ,Web 服务 器 的 安全 性 将 影响 到 本 地 系统 ,甚至 整个 网 
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络 的 安全 性 ,必须 通过 相应 的 安全 机 制 控制 来 访 用 户 的 访问 。 

可 以 通过 验证 Web 站 点 的 CA 数字 证 书 来 判别 该 站 点 的 真 伪 。Web 流量 安全 在 网 络 
级 的 解决 方法 之 一 是 使 用 IPSec, 在 传输 级 的 解决 方法 之 一 是 使 用 安全 套 接 层 (SSL) 或 传输 
层 安全 (TLS) ,在 应 用 级 的 解决 方法 之 一 是 使 用 安全 的 电子 交易 (SET)。Web 站 点 的 四 级 
访问 控制 是 IP 地 址 限制 .用 户 验证 .Web 权限 .NTFS 权限 。IE 的 四 个 区 域 分 别 是 Internet 
区 域 . 本 地 Intranet 区 域 . 可 信 站 点 区 域 和 受 限 站 点 区 域 。 

安全 套 接 层 (SSL) 位 于 HTTP 层 和 TCP 层 之 间 , 建 立 客 户 机 与 服务 器 之 间 的 加 密 通 
信和 ,以 确保 HTTP、FTP、SMTP、POP3、Telnet 等 服务 信息 传递 的 安全 性 。SSL 协议 包括 
SSL 记录 协议 和 SSL 握手 协议 两 个 子 协议 。 其 中 ,记录 协议 位 于 握手 协议 之 下 , 主要 为 
SSL 连接 提供 机 密 性 和 报 文 完整 性 服务 。SSL 握手 协议 被 封装 在 SSL 记录 协议 中 , 它 人 允许 
服务 器 与 客户 机 在 应 用 程序 传输 和 接收 数据 之 前 互相 认证 ,协商 加 密 算法 (RSA、DH 等 ) 和 
密 钥 。 密 钥 协 商 使 用 非 对 称 ( 公 钥 ) 密 钥 体 制 进行 。 

在 IIS 6.0 中 ,Web 服务 器 管理 员 必 须 首先 安装 Web 站 点 数字 证 书 , Web 服务 器 才能 
支持 SSL 会 晤 。 数 字 证 书 的 格式 遵循 ITU-T X. 509 标准 。 通 常情 况 下 ,数字 证 书 需要 由 
证 书 认 证 机 构 (CA) 颁 发 。 


11.2.2 FTP 的 安全 问题 


FTP 服务 主要 用 于 实现 在 FTP 服务 器 和 FTP 客户 端 之 间 传 输 文件 。 通 过 FTP 服务 ， 
可 以 实现 软件 的 下 载 , 文 件 的 交换 与 共享 ,以 及 Web 站 点 的 维护 。 很 多 网 络 管理 员 或 者 安 
全 工程 师 在 维护 服务 器 时 所 使 用 的 FTP 系统 在 工作 中 非常 重要 ,但 是 一 般 都 不 公开 或 者 很 
少 公开 ,所 以 安全 性 往往 得 不 到 足够 的 重视 ,成 为 很 多 攻击 者 喜欢 攻击 的 目标 。 


113 方案 设计 


方案 设计 如 表 11-2 所 示 。 
表 11-2 方案 设计 

任务 名 称 | Internet 信息 服务 的 安全 设置 
1. Web 服务 器 的 安全 设置 
(1) 用 户 身 份 认证 
(2) IP 地 址 限制 
(3) 端口 安全 
(4) 为 Web 站 点 启用 SSL 安全 保护 
2. 构建 高 安全 性 的 FTP 服务 器 
(1) 指定 FTP 的 IP 地 址 并 修改 默认 端口 
(2) 定制 详细 的 FTP 日 志 , 记 录 相关 信息 
(3) 利用 NTFS 约束 FTP 用 户 权限 
(4) 启用 目录 安全 性 ,杜绝 99% 的 各 类 FTP 攻击 


任务 分 解 
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续 表 
. 能 设置 Web 服务 器 的 “用 户 身份 认证 ”访问 方式 
. 能 通过 IP 地 址 限制 进行 Web 服务 器 的 身份 认证 
. 能 为 Web 站 点 启用 SSL 安全 保护 
. 能 修改 FTP 的 IP 地址 和 默认 端口 
. 能 定制 详细 的 FTP 日 志 , 记 录 相 关 信 息 
. 能 利用 NTFS 约束 FTP 用 户 权限 


i 
2 
3 

能 力 目标 | 4 

5 

6 

7. 能 启用 目录 安全 性 ,杜绝 各 类 FTP 攻击 

i 

2 

1 

3 

4 

5 


. 了 解 Web 服务 器 的 安全 问题 

.了解 FTP 服务 器 的 安全 问题 

. 树立 较 强 的 安全 意识 

. 掌握 网 络 安全 行业 的 基本 情况 

.培养 职业 兴趣 ,以 及 爱 岗 敬业 热情 主 动 的 工作 态度 
. 培养 良好 的 职业 道德 

. 具有 可 持续 发 展 能 力 


知识 目标 


素质 目标 
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11.4.1 任务 1: Web 服务 器 的 安全 设置 


1, 任务 目标 

Web 服务 已 经 成 为 众多 网 络 的 必 备 服务 ,被 用 来 提供 信息 发 布 . 邮 件 查询 .电子 商务 、 
网 络 办 公 等 网 络 平台 。 但 是 ,一 般 用户 都 是 在 对 Web 安全 了 解 甚 少 的 情况 下 使 用 的 , Web 
服务 的 安全 直接 决定 多 种 网 络 服务 的 安全 ,涉及 整个 网 络 的 安全 ,因此 本 任务 通过 对 Web 
服务 器 的 简单 配置 ,获得 安全 .可 靠 的 网 络 平台 。 


2, 工作 任务 

(1) 用 户 身份 认证 ; 

(2) IP 地 址 限制 ; 

(3) 端口 安全 ; 

(4) 为 Web 站 点 启用 SSL 安全 保护 。 


3. 工作 环境 
三 台 预 装 Web 服务 器 的 Windows Server 2003/XP 主机 。 


4. 实施 过 程 

(1) 用 户 身 份 认证 

由 IIS 搭建 的 Web 网 站 默认 所 有 用 户 匿名 访问 ,网 络 中 的 用 户 无 须 输 入 用 户 名 和 密码 
就 可 以 任意 访问 Web 网 页 。 但 对 于 一 些 安全 性 要 求 较 高 的 Web 网 站 ,或 者 Web 网 站 中 拥 
有 敏感 信息 时 ,可 以 采用 用 户 认 证 的 方式 .确保 只 有 经 过 授权 的 用 户 才 可 以 对 Web 信息 进 
行 访问 和 浏览 。 具 体 的 实现 步骤 如 下 : 

Q@ 启动 IS, 打 开 “ 上 默认 网 站 属性 ”对 话 框 ,然后 选择 “目录 安全 性 ”选项 卡 ,如 图 11-1 
所 示 。 
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@ 单 击 “ 编 辑 " 按 钮 ,打开 “身份 验证 方法 ?对 话 框 。 撤 选 “ 启 用 匿名 访问 ”, 取 消 Web 站 
点 的 匿名 访问 服务 ,然后 选择 “集成 Windows 身份 验证 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 11-2 所 示 。 


Tx 可 
网 | 性 能 |  IShAPT 第 过 器 | 主 目录 | 文档 门生 局 用 匿名 访问 四 一 一 一 
目录 安全 性 | WIP 头 1 自 定义 持 误 对 工 名 访问 使 用 下 列 Windows 用 户 账户 ; 
Pe ee 用 PD: Pn [上 加 
她 夫人 IE | 
下 地 址 和 域名 限制 
多 区 各 绚 庆 这 本 et 二 各 撞 权 或 
安全 通信 和 和 和 ee 
Windows 务 器 的 摘要 式 身 | 
关于 本 RR ga) 王 区 寺 下 O 明 KE 6) 
加 豆 看 证 节 色 厂 .IT Passport 身份 验证 加 ) 
.| 扶 U 域 加 流 大 如 
ed MD 
确定 了 滑 到 用 NI 得 助 | mh | 和 中 
11-1 网 站 属性 “目录 安全 性 ”选项 卡 图 11-2 “身份 验证 方法 ”对 话 框 


“集成 Windows 身份 验证 ”是 一 种 安全 的 验证 形式 ,需要 用 户 输入 用 户 名 和 密码 ,因为 
用 户 名 和 密码 在 通过 网 络 发 送 前 会 经 过 散 列 处 理 , 因 此 可 以 确保 安全 性 。 它 是 Windows 
Server 2003 家 族 成 员 中 使 用 的 默认 身份 验证 方式 ,安全 性 较 高 。 

@ 访问 Web 站 点 ,将 弹出 登录 对 话 框 , 需 要 输入 正确 的 用 户 名 和 密码 才能 打开 网 页 ， 
如 图 11-3 所 示 。 

把 Web 服务 器 安装 在 系统 的 NTFS 分 区 上 ,可 以 对 NTFS 文件 系统 的 文件 和 文件 夹 
的 访问 权限 进行 控制 ,对 不 同 的 用 户 和 用 户 组 授予 不 同 的 访问 权限 。 具 体 的 实现 步骤 如 下 : 

J@D 选择 要 设 定 访问 权限 的 文件 或 文件 夹 ,然后 右 击 选择 快捷 菜单 中 的 “共享 和 安全 " 菜 
单项 ,在 打开 的 属性 对 话 框 中 选择 “安全 ”选项 卡 ,如 图 11-4 所 示 。 


Ix 
常规 | 共享 ”安全 | we 共享 | 自 定义 | 
组 或 用 户 名 称 @); 
ChEATOR onre 
sm 
连接 到 192,168,31.3 | Users CMCSERYER2003\Vsers) 
I 
CE 添加 四 .| _ Mp EB) 
Adninistrators 的 权限 开 ) 也许 拒绝 
正在 连接 到 192. 168. 31.3 Be 日 
读 取 和 运 口 
用 PSsw: 上 夺 习习 列 出 文件 天 目录 口 
窗 码 所); 读 取 口 
厂 记 储 委 的 刘 码 加 mtn 蝇 国 


Ce |] w | 


图 11-3 登录 对 话 框 图 11-4 “安全 ?选项 卡 (1) 
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@ 设置 允许 访问 该 文件 夹 的 不 同 用 户 和 组 的 权限 。 例 如 ,可 以 把 其 他 组 和 用 户 都 删 
掉 , 只 添加 一 个 用 户 web01 对 Web 服务 器 的 文件 夹具 有 读 取 和 运行 、 列 出 文件 夹 目录 以 及 
读 取 和 写 入 的 权限 ,如 图 11-5 所 示 , 则 其 他 组 或 用 户 都 不 能 访问 该 文件 夹 。 

对 于 已 经 设置 成 Web 目录 的 文件 夹 ,可 以 通过 操作 站 点 属性 实现 对 Web 目录 访问 权 
限 的 控制 ,具体 实现 方法 如 下 : 在 IIS 中 打开 站 点 的 属性 对 话 框 ,然后 选择 “ 主 目录 ”选项 卡 ， 
设置 Web 目录 的 访问 权限 ,如 图 11-6 所 示 。 


可 到 37x| 
目录 安全 性 hr 头 目 定 X 增 误 
Tm |#¥ RE lr #¥l El a | mm | 
间或 用 户 名 称 (6); 此 资源 的 内 容 来 自 : 
@ veb0l (GLSERVER2003\web01) 他 此 计算 机 上 的 目录 四) 
个 另 一 和 计算 机 上 的 共 训 @) 
个 重 定 向 到 VEL) 
本 地 路 径 人 ): F \hostroot [| 
厂 肝 本 资源 沪 问 必 ) 局 
证 反 读 取 国 ) 应 索引 资源) 
mw | Pe 
wetol 的 权限 加 ) 人 允许。 拒 抱 厂 目录 济 六) 
应 用 程序 坟 轩 
ET 
开始 位 置 a 
[2 
MRE): [am 可 
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图 11-5 设置 用 户 和 权限 图 11-6 “ 主 目录 ”选项 卡 (1) 


注意 :“ 脚 本 资源 访问 ”权限 的 设 定 可 能 给 其 他 人 利用 ASP 脚本 漏洞 对 Web 网 站 发 动 
恶意 攻击 ,或 暴露 数据 库 的 位 置 , 一 般 不 子 选 中 。“ 读 取 ” 权 限 允 许 用 户 读 取 或 下 载 文件 或 目 
录 及 其 相关 属性 ,如 果 要 发 布 信息 ,必须 选中 。“ 写 入 ”权限 允许 用 户 将 文件 上 传 到 Web 服 
务 器 上 已 启用 的 目录 中 ,或 者 更 改 可 写 文件 的 内 容 , 仅 仅 发 布 信息 ,不 用 选中 。 当 允许 用 户 
“ 写 入 ”时 ,一 定 要 选择 相应 的 用 户 身份 验证 方式 ,并 设置 磁盘 配额 ,防止 非法 用 户 入 侵 , 以 及 
授权 用 户 对 磁盘 空间 的 滥用 。“ 目 录 浏 览 "权限 允许 客户 看 到 该 虚拟 目录 下 的 文件 和 子 目 录 
的 超 文本 列表 ,从 而 容易 导致 对 网 站 的 恶意 攻击 ,一 般 不 选中 。“ 记 录 访 问 ” 权 限 可 以 对 
Web 网 站 的 访问 进行 统计 和 分 析 , 有 益 于 系统 安全 ,但 要 同时 启用 该 网 站 的 日 志 记 录 , 才 有 
访问 记录 。“ 索 引资 源 ” 权 限 允 许 Microsoft Indexing Service 将 该 目录 包含 在 Web 网 站 的 
全 文 索引 中 。 

(2) IP 地 址 限制 

使 用 用 户 身 份 认证 方式 后 ,每 次 访问 Web 站 点 都 需要 输入 用 户 名 和 密码 ,这 对 于 授权 
用 户 来 说 非常 麻烦 ,可 以 通过 IP 地 址 限制 来 进行 身份 认证 ,简单 且 有 效 。 可 以 把 Web 站 点 
设置 成 允许 或 拒绝 从 特定 IP 发 来 的 服务 请 求 .有 选择 地 允许 特定 用 户 访问 Web 服务 ,拒绝 
除了 特定 IP 地 址 外 的 整个 网 络 用 户 来 访问 Web 服务 器 。 具 体操 作 步 又 如 下 : 

@ 打开 Web 站 点 属性 对 话 框 ,选择 “目录 安全 性 ”选项 卡 , 然 后 单 击 “IP 地 址 和 域名 限 
制 ?选项 区 域 的 “编辑 ”按钮 ,打开 *IP 地 址 和 域名 限制 ”对 话 框 ,如 图 11-7 所 示 。 
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IP 地 址 和 域名 限制 x 
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11-7 “IP 地 址 和 域名 限制 ?对 话 框 


@ 选中 “授权 访问 "选项 ,然后 单 击 “ 添 加 ”按钮 ,有 三 种 方式 来 限制 连接 。 

。 选择 “一 台 计 算 机 ”, 利 用 IP 地 址 拒绝 某 台 计算 机 访问 Web 网 站 ,如 图 11-8 所 示 。 

。 选择 “一 组 计算 机 ”, 利 用 “网 络 标 识 ” 和 “ 子 网 掩 码 " 来 拒绝 某 一 个 网 段 内 的 所 有 计算 
机 访问 Web 网 站 ,如 图 11-9 所 示 。 


| 拒绝 访问 “=| 


并: ul: 
人 一 和 计算 机 全 ) 广 一 和 生机 回 
玉 一 外 计算 机 GD) 个 一 组 计算 机 G@) 
三 城 各 多 个 域名 四 
TD ED); 标识 @): FD: 
[ENCEEm [ECE 
取消 | 取消 玫 助 人 0 


11-8 拒绝 一 台 计 算 机 访问 


。 选择“ 域名 ”, 利 用 计算 机 域名 来 拒绝 某 台 


拒绝 访问 x 


图 11-9 拒绝 一 组 计算 机 访问 


计算 机 访问 Web 网 站 ,如 图 11-10 所 示 。 


@ 选择 完毕 后 , 单 击 “ 确 定 ” 按 钮 ,所 有 被 拒绝 的 计算 机 访问 该 网 站 时 ,都 会 显示 如 
图 11-11 所 示 的 “您 未 被 授权 查看 该 页 ”的 提示 。 
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您 未 被 授权 查看 该 页 


您 不 具备 使 用 所 提供 的 赁 多 查看 该 目录 或 贾 的 权限 ,因为 Web 浏览 器 正在 发 送 Neb 服务 
器 未 号 秆 接受 的 YYY-Aathenticats 报头 字段 。 


[TTTT 了 厢 mene 


图 11-10 根据 域名 拒绝 一 台 计算 机 访问 图 11-11 网 站 拒绝 访问 提示 


如 果 单 击 “ 拒 绝 访问 选项, 则 与 “授权 访问 ?选项 刚好 相反 ; 单 击 “ 添 加 ”按钮 ,会 打开 
“授权 访问 ”对 话 框 ,用 来 添加 特别 授予 访问 权限 的 计算 机 。 

(3) 端口 安全 

Web 站 点 的 TCP 端口 默认 是 80, 可 以 通过 修改 默认 端口 号 来 提高 Web 服务 的 安全 
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性 。 但 如 果 修 改 了 端口 号 ,就 只 有 知道 端口 号 的 用 户 才 能 访问 企业 Web 站 点 。 修 改 端 口号 
的 方法 是 打开 站 点 的 属性 对 话 框 ,然后 选择 “网 站 ”选项 卡 , 在 其 中 输入 新 的 TCP 端口 号 ,如 
图 11-12 所 示 。 


了 xl 
目 | HIP 头 1 自 定义 错误 
网 站 性 能 。 | 。 ISAPT 第 选 器 | 主 上 录 | 文档 | 
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描述 @) | rE 
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TCF 端口 中 ): pe SSL 广 口 册 : |443 
「 连接 


连接 超时 0D - 120 黎 


订 保持 ITTF 连接 四) 


广 末 启用 日 老 记录 旭 
活动 日 志 格式 多): 
SC 扩展 日 志文 上 格式 了 | 属性 @@ 


图 11-12 端口 设置 


(4) 为 Web 站 点 启用 SSL 安全 保护 

SSL(Secure Socket Layer) 又 称 为 TLS 协议 ,是 Netscape 研制 开发 的 ,用 以 保障 在 互 
联网 上 的 数据 传输 安全 。 它 利用 数据 加 密 技 术 , 避 免 数据 被 中 途 截获 和 算 改 。HTTP 协议 
可 以 用 SSL 来 加 密 传 输 安全 性 较 高 的 数据 和 信息 ,达到 安全 传输 的 目的 。 

本 任务 使 用 三 台 计算 机 ,一 台 作 为 企业 Web 服务 器 ,一 台 作 为 客户 机 ,一 台 作 为 证 书 颁 
发 机 构 CA。 客 户 机 通过 下 浏览 器 访问 企业 Web 站 点 。 企 业 Web 服务 器 通过 向 证 书 颁发 
机 构 CA 申请 并 安装 服务 器 证 书 ,并 要 求 客户 机 通过 SSL 安全 通道 连接 ,保证 双方 通信 的 
机 密 性 、 完 整 性 和 服务 器 的 用 户 身份 认证 。 同 时 ,通过 在 客户 机 上 申请 并 安装 客户 端 证 书 ， 
实现 客户 机 的 用 户 身 份 认证 。 

这 里 说 的 证 书 全 称 为 数字 证 书 ,是 一 种 由 证 书 颁发 机 构 颁 发 并 经 证 书 颁发 机 构 数 字 签 
名 的 、 用 于 证 明证 书 持 有 人 身份 的 “网 络 身份 证 ”, 其 中 包括 了 证 书 持 有 人 的 公 钥 信息 和 证 书 
颁发 机 构 的 数字 签名 ,还 可 以 包括 用 户 的 其 他 信息 。 数 字 证 书 的 权威 性 取决 于 证 书 颁发 机 
构 的 权威 性 。 

首先 ,在 一 台 计 算 机 上 安装 “证 书 服务 "组件 ,使 之 成 为 一 个 证 书 颁发 机 构 CA, 具 体 的 
实现 步骤 如 下 : 

a 单 击 “开始 ”一 控制 面板 ”添加 删除 Windows 组 件 ”>“ 证 书 服务 ”, 提 示 安 装 “ 证 
书 服务 ”后 就 不 能 改变 计算 机 名 了 ,然后 单 击 " 是 ”按钮 ,如 图 11-13 所 示 。 

@ 单 击 “ 下 一 步 ” 按 钮 ,弹出 “CA 类 型 "对话 框 ,有 四 种 类 型 的 证 书 颁发 机 构 。 如 果 本 机 
是 活动 目录 , 则 都 可 以 选 ; 如 果 不 是 ,只 能 选择 后 两 项 , 即 “ 独 立根 CA”(CA 体系 中 最 受信 任 
的 CA, 不 需要 Active Directory) 和 “独立 从 属 CA”( 标 准 CA ,可 以 给 任何 用 户 或 计算 机 颁 


[RE 


图 11-13 ”提示 信息 


发 证 书 , 但 必须 从 另 一 个 CA 获取 CA 证 书 , 不 需要 Active Directory)。 这 里 选择 “独立 根 
CA”, 如 图 11-14 所 示 。 


;ws 组 件 向 导 


图 11-14 “CA 类 型 "对 话 框 


@ 单 击 “下 一 步 ”按钮 ,弹出 “CA 识别 信息 ”对 话 框 。 为 安装 的 CA 起 一 个 公用 名 称 ， 
“可 分 辨 名 称 后 级 ”可 以 不 填 ,“ 有 效 期 限 ” 默 认为 5 年 ,如 图 11-15 所 示 。 


图 11-15 “CA 识别 信息 ”对 话 框 
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@ 单 击 * 下 一 步 ?按钮 ,弹出 * 证 书 数据 库 设 置 ?对 话 框 , 显 示 证 书 数据 库 与 日 志 存 放 位 

置 的 设置 ,默认 为 C:\WINDOWS\system32\CertLog, 如 图 11-16 所 示 。 这 里 保持 默认 设 
置 ,因为 只 有 这 样 , 系 统 才 会 根据 证 书 类 型 自动 分 类 和 调用 。 

x 


证 书 数据 库 设 置 2 
输入 证 书 数据 库 、 数 据 库 日 志和 配置 信息 的 位 置 . | | 


2 


证 和 所 让 志 


|E: winowS \systens2\CertLog 
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共享 文件 亚 0 
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三 保留 的 有 的 证 书 数 据 库 焉 ) 


I 


“smsm)] ww | ww | 
图 11-16 “证 书 数据 库 设 置 " 对 话 框 


@ 配置 好 参数 后 ,系统 开始 安装 证 书 服务 组 件 , 要 求 有 系统 1386 安装 文件 。 指 定好 位 
置 后 ,开始 CA 服务 的 安装 。 

@ 在 安装 过 程 中 弹出 “是 否 启用 Active Server Page” 对 话 框 , 单 击 “ 是 ”按钮 ,完成 证 书 
服务 ,如 图 11-17 所 示 。 


八 、 要 允许 证 书 服务 提供 web 注册 服务 ， 此 让 Internet 信息 服务 


Pr 人 Se 由 
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11-17 “是 否 启用 Active Server Page” 对 话 框 


后 ,在 企业 Web 服务 器 上 创建 证 书 请 求 文 件 . 这 需要 通过 IIS 以 Web 形式 完成 ,具体 

的 操作 如 下 : 

J@ 选择 IIS 中 企业 Web 站 点 的 “目录 安全 性 ?选项 卡 ,然后 单 击 “安全 通信 ?选项 区 域 的 
“服务 器 证 书 ” 按 钮 ,打开 Web 服务 器 证 书 向 导 。 

@ 单 击 “下 一 步 ” 按 钮 ,弹出 “服务 器 证 书 ” 对 话 框 ,选中 “新 建 证 书 ” 选 项 ,如 图 11-18 
所 示 。 

@ 单 击 “ 下 一 步 ” 按 钮 ,弹出 “延迟 或 立即 请 求 ” 对 话 框 ,选择 “现在 准备 证 书 请 求 , 但 稍 
后 发 送 ”。 然 后 单 击 “ 下 一 步 ” 按 钮 ,弹出 “名 称 和 安全 性 设置 ”对话 框 ,设置 新 证 书 的 名 称 和 
密 钥 长 度 , 如 图 11-19 所 示 。 

由 单 击 * 下 一 步 ?按钮 ,弹出 * 单 位 信息 ”对话 框 ,设置 证 书 所 包含 单位 的 相关 信息 ,以 便 
和 其 他 单位 的 证 书 区 分 开 , 如 图 11-20 所 示 。 


Ee tN Sr 


IIS 证 书 向 导 


单位 信息 
证 书 必须 包含 您 单位 的 相关 信息 ,以便 与 其 地 单位 的 证 书 区 分 开 。 


图 11-20 “单位 信息 ”对 话 框 
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@ 单 击 “ 下 一 步 " 按 钮 ,弹出 “站 点 公用 名 称 ” 对 话 框 。 如 果 服 务 器 在 互联 网 上 , 需 填写 
有 效 的 域名 ; 如 果 服 务 器 在 局 域 网 内 , 需 填写 计算 机 名 ,如 图 11-21 所 示 。 
EE 


站 点 公用 名 称 
站 点 公用 名 称 是 其 完全 合格 的 域名 。 


和 


如 果 公 用 名 称 发 生变 化 ， 则 需要 获取 新 证 书 。 
公用 名 称 CE): 


mw | 
图 11-21 “站 点 公用 名 称 ” 对 话 框 


注意 : 公用 名 是 证 书 最 重要 的 信息 之 一 。 它 是 Web 站 点 的 DNS 名 称 , 即 用 户 在 浏览 
Web 站 点 时 键入 的 名 称 。 如 果 证 书 名称 与 站 点 名 称 不 匹配 , 当 用 户 浏览 到 Web 站 点 时 ,将 
报告 证 书 问题 。 例 如 ,如 果 Web 站 点 的 域名 为 www. test. com, www. test. com 就 是 应 当 
指定 的 公用 名 。 若 公用 名 称 发 生变 化 ,需要 获取 新 证 书 。 此 处 因为 Web 服务 器 的 机 器 名 是 
glserver2003 ,所 以 公用 名 称 设 为 glserver2003 。 

@ 单 击 * 下 一 步 "按钮 ,弹出 “地 理 信息 ?对 话 框 ,根据 实际 情况 填写 相关 信息 ,如 图 11-22 
所 示 。 


地 理 信息 
证 书 颁 发 机 构 和 要求 下 列 地 理 信息 。 


国家 地 区 ) O) 

中国 ) 下 

省 /自治 区 G@) 

[a 司 
市 县 各): 


sa 了 


省 /自治 区 和 市 县 必须 是 完整 的 官方 名 称 ， 且 不 能 包含 缩 写 。 


《上 一 步 四 取消 


图 11-22 “地 理 信息 ”对 话 框 


@ 单 击 “ 下 一 步 ” 按 钮 ,弹出 “证 书 请 求 文件 名 ”对 话 框 ,用 来 指定 要 保存 的 证 书 请 求 文 
件 的 文件 名 和 路 径 。 默 认 保 存在 C:\certreq. txt 文件 中 。 
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单 击 “ 下 一 步 " 按 钮 ,显示 “请 求 文件 摘要 ”对 话 框 ,确认 前 面 设置 的 所 有 信息 。 然 后 
单 击 “ 下 一 步 ” 按 钮 ,完成 企业 Web 服务 器 证 书 请 求 文件 。 

有 了 证 书 请 求 文件 后 ,企业 Web 服务 器 就 可 以 通过 下 浏览 器 向 证 书 颁发 机 构 CA 提 
交 证 书 申请 ,具体 操作 步骤 如 下 : 

@ 在 企业 Web 服务 器 的 正 浏览 器 中 输入 证 书 颁 发 机 构 CA 的 网 址 http://192. 168. 
31.111/certsrv, 在 弹出 的 “欢迎 ”网 页 中 单 击 “ 申 请 一 个 证 书 ” 超 链接 ,如 图 11-23 所 示 。 


当 Microsoft 证 书 服务 - Microsoft Intemet Exploren 
ee | 
加 丘 EE -日 7 四国 的 | 从 搜索 袜 收 若 夹 名 | 


节 址 介 )| 痢 htp://192.168.31.111/certsm/ "| 日 轩 到 PE 要 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 闻 件 客户 端 或 其 他 程序 申请 一 个 证 书 。 通 
过 使 用 证 书 ， 您 可 以 向 通过 Web 通信 的 人 确 从， 签署 并 加 密 邮 件 ， 并 
且 ， 根据 您 申请 的 证 书 的 类 型 ， 人 


te db 证 书 链 ， 或 证 书 吊销 列表 
(CRL) ， 或 查看 挂 起 的 申请 的 状态 。 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 
选择 一 个 任务 : 
申请 一 个 证 书 


一 个 CA 证 书 , 敢 CRL 


11-23 “欢迎 ”网 页 (1) 


注意 : 如 果 打 不 开 CA 的 网 站 ,应 检查 是 否 能 在 安装 证 书 服务 的 计算 机 上 打开 网 站 。 
若 可 以 ,检查 两 台 计算 机 的 连接 情况 ; 若 不 能 ,在 控制 面板 重 装 IIS, 重 装 证 书 服务 。 

四 单 击 “下 一 步 ”按钮 ,弹出 “申请 一 个 证 书 ” 窗 口 ,选择 “高 级 证 书 申请 ?选项 ,如 图 11-24 
所 示 。 


11-24 “申请 一 个 证 书 ” 窗 口 


@ 单 击 “ 下 一 步 " 按 钮 ,在 弹出 的 窗口 中 选择 “使 用 base64 编码 的 CMC 或 PKCS#10 文件 
提交 一 个 证 书 申请 ,或 使 用 base64 编码 的 PKCS#7 文件 续 订 证 书 申请 ”, 如 图 11-25 所 示 。 

@ 在 出 现 的 “提交 一 个 证 书 申请 或 续 订 申 请 ”界面 中 ,将 前 面 保存 的 服务 器 证 书 请 求 文 
件 C:Ncertreq. txt 中 的 内 容 完整 复制 到 “保存 的 申请 ”文本 框 中 ,如 图 11-26 所 示 。 
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190， 网 络 安全 部 署 
EE 


证 书 服务 - Microsoft Internet Explorer 


文件 但 ”编辑 E) 查看 WW) 收藏 A) 工具 0D 帮助 内 | 二 
| 日 JR = 加 章 国 从 | 忆 措 索 祈 收 天 @ 2 sB | 
地 十) 赂 hmpyiszlte3llll/teremkcerrqadap 本 回转 到 | 许配 思 


高 级 证 书 申请 


CA 让 请 二 关 拓 单 击 下 列 选项 之 一 来 : 


base64 篇 加 的 CHC 或 PECS 型 一 个 证 书 申请 ， 或 使 用 
Ce PKCS #7 文件 线 订 证 书 甲 请 。 


夯 [LT T [全 menet 4 


图 11-25 “高 级 证 书 申请 ”窗口 


强 Microsoft 证 书 服务 - Microsoft Interned Exploren 

文件 中 ”编辑 E) 查看 V) 收藏 @ 工具 CD 帮助 H) | 
句 后退 > 口 ” 加 @ 的 | 人 P 搜 索 立 收 莫 夹 如 | Dr 委 电 

| 地 址 介 ) 几 hp/9216831llleersveerrqtasp 。 ” ” 习 固 转 到 | 链接 


提交 一 个 证 书 申请 或 续 订 申请 


要 提交 一 个 保存 的 申请 到 CA， 在 “保存 的 申请 ” 框 中 粘贴 一 个 由 外 部 源 (如 Web 服 
务 呢 ) 生 成 的 base-64 编码 的 CHC 或 PECS #10 证 书 申请 或 PKCS #7 绪 订 申请 。 


保存 的 申请 : 

证 书 中 Ew zzpENHAsGA1UEChNEc2RwdDERNABGA1UECxBI 
(CNC 或 |pGdsc2VydmVyN]JAvwNzCBnzANBgkqhkiG9wOBAOFF 
PKCS #10 或 |xOvHxPO2 AuoHvQUrgbOIVndutdqgei045/exQYOZT 


PECS #7): [xcGwNwwadasq0eCot9uoVnbEbIONBdS6DESkCmF2 加 


11-26 “提交 一 个 证 书 申请 或 续 订 申请 ”窗口 


GO 单 击 “ 提 交 ” 按 钮 ,弹出 “证 书 挂 起 ”窗口 界面 ,如 图 11-27 所 示 。 此 时 ,证 书 申请 已 被 
证 书 颁发 机 构 CA 收 到 ,需要 等 待 管理 员 颁 发 证 书 。 


' 务 - Microsoft Internet Explorer 
文件 但 ”编辑 E 查看 收藏) 工具 D 帮助 t 
TS 说 收 卫 天 提名 
地 二 Dj 周 hmyiszltesllllcersvterthshap 。 ” 悦 回转 到 上 村 


证 书 挂 起 

您 的 证 书 申请 己 经 收 到 。 但 是 ， 您 必须 等 符 管理 员 颁 发 您 申请 的 证 书 。 
您 的 申请 Id 为 3。 

请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 

注意 : 您 必须 用 此 Yeb 浏览 攻 在 10 天 内 返回 以 检索 钨 的 证 书 


Ea 


图 11-27 “证 书 挂 起 ”窗口 


工作 任务 十 一 Internet 信息 服务 的 安全 设置 


证 书 颁发 机 构 CA 颁发 证 书 的 具体 操作 步骤 如 下 : 
Q@ 在 证 书 颁发 机 构 CA 的 计算 机 中 单 击 “ 开 始 ”>“ 所 有 程序 ”>“ 管 理工 具 ” 命 令 , 打 开 
“证 书 颁发 机 构 ” 对 话 框 ,在 “ 挂 起 的 申请 "文件 夹 中 将 看 到 刚才 提交 的 Web 服务 器 证 书 申请 。 


@ 在 该 证 书 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”>“ 颁 发 "命令 ,颁发 此 证 书 ， 
如 图 11-28 所 示 。 


=| 口 | x| 
文件 EE) 操作 (a) 查看 帮助 


名 中 | 名 | 因 | 日 芒 | 巷 图 


11-28 “ 挂 起 的 申请 ”窗口 


@ 管理 员 颁 发 证 书后 ,在 “颁发 的 证 书 ” 窗 口中 就 能 看 到 已 经 颁发 了 的 证 书 , 如 图 11-29 
所 示 。 


文件 操作 (2) 查看 W， 帮助 t 
和 二 | 外国 | 唱 要 | 茹 加 


外 失败 的 申请 


图 11-29 “颁发 的 证 书 ” 窗 口 


然后 ,在 企业 Web 站 点 可 以 下 载 并 安装 该 证 书 , 具 体 的 操作 步骤 如 下 : 
中 在 企业 Web 服务 器 的 正 浏览 器 中 输入 证 书 颁发 机 构 CA 的 网 址 http://192. 168. 


31. 111/certsrv, 在 弹出 的 “欢迎 ”网 页 中 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ” 超 链接 ,如 图 11-30 
所 示 。 


下 Microsoft 证 书 服务 - Microsoft Internet EXpIOnee 


文件 四、 编辑 E) 查看 WW) 收藏 和 工具 CD 帮助 由 E23 

回顾 EB -加 "日 习 有 荔 | 亡 搜索 去 收 藉 夹 全 | Crv 冯 巴 

地 址 (Dj 图 ntpyaszlce3llllkersw 司 目 转 到 链接 
加 | 

欢迎 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮 件 客户 端 或 其 他 程序 申请 一 个 证 书 。 通 过 使 
用 证 书 ， 您 可 以 向 通过 Web 全 休 签署 并 加 密 邮件 ， 并 且 ， 根 所 
您 申请 的 证 书 的 类 型 ， 执 行 其 他 安全 任 : 


人 人 二 让 直 让 共生 必 机 构 (CA) 证 书 ， 证 书 链 ， 或 证 书 吊 销 列 表 (CRL)， 
或 查看 挂 起 的 申请 的 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 
选择 一 个 任务 : 
里 请 一 个 证 书 


可 二 挂 民 的 证 书 申请 的 状态 
下 载 一 个 CA 证 书 ， 证 书 链 或 CRL | 
如 


[|| 内 memet 
图 11-30 “欢迎 ”网 页 (2) 
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192” 网 络 安全 部 署 
EE 


@ 在 弹出 的 “查看 挂 起 的 证 书 申请 的 状态 ”网 页 中 根据 申请 的 时 间 选 择 “ 保 存 的 申请 证 
书 ” 超 链接 ,如 图 11-31 所 示 。 


下 Microsoft 证 书 服务 - Microsoft Internet ExXplOren lolx) 
文件 中 ”编辑 下 查看 M) 收藏 和 工具 帮助 td EE 
回扣- 日 > 本 同人 | 站 搜索 说 收藏 来 如 Drv 光量 

地 址 @)| 几 htp://192.168.31.111/certsrv/certckpn.asp 
查看 挂 起 的 证 书 申请 的 状态 


请 选择 您 要 查看 的 证 书 申请 : 
保存 的 申请 证 书 〈2011 年 8 月 11 日 18:40:13) 
保存 的 申请 证 书 〈2011 年 8 月 11 日 19:03:15) 
保存 的 申请 证 书 〈2011 年 8 月 11 日 23:09:46) 


夯 厂矿 厂 memet 


了 | 回转 到 | 链接 ” 


Se es 


11-31 “查看 挂 起 的 证 书 申请 的 状态 ”网 页 


@ 在 弹出 的 “证 书 已 颁发 "网 页 中 选择 “下 载 证 书 ”, 如 图 11-32 所 示 。 


下 Microsoft 证 书 服务 - Microsoft Internet Exploren 

文件 中 编辑 E) 查看 收藏 ) 工具 CD 帮助 td | 才 
四 后 B -可 -日 四 全 | 万 搜索 二 收 藉 严 全 | Civ 马 蕊 

地 址 (D) 赔 htp://192.168.31.111/certsrv/certinsh.asp ”| 回转 到 | 链接 ” 
证 书 已 颁发 


您 申请 的 证 书 已 颁发 给 您 


GDER 编码 或 CBase 64 编码 


国 苇 时 x 


厂矿 厂矿 厂 夫 memet 
图 11-32 “证 书 已 颁发 ”网 页 


@ 弹出 “文件 下 载 " 窗 口 , 单 击 “保存 ?按钮 ,如 11-33 所 示 。 
x| 


您 起 打开 或 保存 此 文件 吗 ? 


名 称 : certnew.cer 
类 型 安全 证 书 , 1.08 KB 
发 送 者 : 192.168.31.111 


11-33 “文件 下 载 ”窗口 


@ 选择 保存 证 书 的 路 径 和 名 称 ,然后 单 击 “ 确 定 ” 按 钮 。 

@ 打开 企业 Web 站 点 的 Internet 信息 服务 (IIS) 管 理 器 ,在 Web 站 点 的 “目录 安全 性 ” 
选项 卡 中 单 击 “ 安 全 通信 ”选项 区 域 的 “服务 证 书 ” 按 钮 ,启动 Web 服务 器 证 书 向 导 , 通 过 该 
向 导 来 安装 刚刚 导出 的 服务 器 证 书 。 

@ 在 “ 挂 起 的 证 书 请 求 ”对 话 框 中 ,选中 “处 理 挂 起 的 请 求 并 安装 证 书 ” 选 项 ,如 图 11-34 
所 示 。 


工作 任务 十 一 Internet 信息 服务 的 安全 设置 


IIS 证 书 向 导 x| 
挂 起 的 证 书 请 求 
挂 和 的 证 书 请 求 是 指证 书 是 发 机 构 尚 未 中 应 的 请 求 。 


《上 一 步 四 [下 - 步 四 ] 取消 


11-34 “ 挂 起 的 证 书 请 求 ” 对 话 框 


@ 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 “处 理 挂 起 的 请 求 ” 对 话 框 中 指定 刚刚 下 载 证 书 文件 的 
路 径 和 名 称 ,如 图 11-35 所 示 。 


处 理 挂 起 的 请 求 
通过 检索 包 合 证 书 颁发 机 构 啊 应 的 文件 来 处 理 挂 起 的 证 书 请 求 , 


输入 包 全 证书 洛 发 机 构 响应 的 文件 的 路 径 和 名 称 。 
路 径 和 文件 名 中) 
F \Docunents and Settings\Adninistrator\ 磊 而 \certnew cer 浏览 他 


< 上- 步 [下 二 步 加 。 取 滑 


11-35 “处 理 挂 起 的 请 求 ” 对 话 框 


@ 单 击 “ 下 一 步 ?按钮 ,然后 为 Web 站 点 指定 SSL 端口 号 为 443, 如 图 11-36 所 示 。 

外 单 击 “ 下 一 步 ?按钮 ,出现 * 证 书 摘要 ”窗口 ,如 图 11-37 所 示 。 

@ 单 击 * 下 一 步 ? 按 钮 ,弹出 “完成 Web 服务 器 证 书 向 导 ” 对 话 框 。 单 击 “ 完 成 ”按钮 , 完 
成 Web 服务 器 证 书 的 安装 。 

最 后 ,客户 端 将 通过 SSL 安全 通道 建立 和 Web 服务 器 的 连接 ,具体 操作 步骤 如 下 : 

@ 打开 Web 服务 器 的 Internet 信息 服务 (IIS) 管 理 器 ,在 Web 站 点 的 “目录 安全 性 ” 选 
项 卡 中 , 单 击 “ 安 全 通信 ”选项 区 域 的 “编辑 ”按钮 ,如 图 11-38 所 示 。 

@ 打开 “安全 通信 ”对 话 框 ,在 该 对 话 框 中 选中 “要 求 安 全 通道 (SSL)” 和 “要 求 128 位 加 
密 ”, 并 单 击 “ 确 定 ” 按 钮 ,如 图 11-39 所 示 。 
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好 网 络 安全 部 署 


IIS 证 书 向 导 


图 11-36 SSL 端口 设置 


11-37 “证 书 摘要 ”窗口 


11-38 “目录 安全 性 ”选项 卡 图 11-39 “安全 通信 ”对 话 框 


工作 任务 十 一 JInternet 信息 服务 的 安全 设置 


@ 在 客户 机 的 正 浏览 器 中 输入 “http://192. 168. 31. 3? 来 访问 企业 Web 站 点 ,将 显示 
“该 页 必须 通过 安全 通道 查看 ”, 如 图 11-40 所 示 。 


淄 该 页 必须 通过 安全 通道 查看 - Microsoft nemne 引 EXDlG 


文件 加， 编 加 查看 W) 收藏 办， 工具 0 帮助 由 EN 

加 后 - 日 7 四 国 多 | 记 搜 索 二 收藏 天 如 | 3 豆 巨 | 

kD) [nee2 16831.3/ 耻 因 办 到 链 按 ” 
该 页 必须 通过 安全 通道 查看 


您 试图 访问 的 页 而 使 用 安全 套 接 字 层 ”SSL) 进行 保护 。 


请 兰 试 以 下 换 作 : 
。 在 娩 要 访问 的 地 址 前 键入 https:// 并 按 Fnterv 


JmTF 请 误 403.4 - 禁止 访问 : 需要 使 用 SSL 查看 该 资源 。 


Internet 全息 服 务 (IIS) | 
BE Temet 4 


图 11-40 安全 提示 (1) 


@ 客户 机 必须 通过 SSL 安全 通道 建立 和 Web 站 点 的 通信 。 在 客户 机 的 IE 浏览 器 中 
输入 “https://192.168. 31.3” 来 访问 企业 Web 站 点 ,出 现 如 图 11-41 所 示 安 全 警报 。 

@ 如 果 单 击 “ 是 ”按钮 ,表示 客户 机 信任 了 证 书 持 有 人 Web 站 点 证 书 的 合法 性 。 单 击 
“查看 证 书 ” 按 钮 ,打开 “证 书信 息 ” 对 话 框 以 查看 证 书 的 相关 信息 ,从 而 决定 是 否 通过 验证 ， 
如 图 11-42 所 示 。 


:2 elserver2003 


颁发 者 : 。 zmeserver2003 


有 效 起 止 日 期 2011-8-12 到 2012-6-12 


是 四 | sw | 


图 11-41 安全 警报 (1) 图 11-42 证 书信 息 (1) 


从 图 11-41 可 以 看 到 有 两 个 感叹 号 表示 的 警告 标识 ,第 一 个 是 由 于 该 证 书 不 是 由 客户 
机 所 信任 的 根 证 书 颁发 机 构 所 颁发 ,第 二 个 是 由 于 在 客户 机 的 IE 浏览 器 中 输入 的 访问 站 点 
名 称 和 证 书 所 有 者 的 名 称 不 一 致 。 

消除 第 一 个 警告 标识 ,需要 将 根 证 书 颁发 机 构 的 证 书 导 出 ,并 安装 到 客户 机 证 书 存储 区 
的 “受信 任 的 根 证 书 颁发 机 构 ? 中 ,具体 的 操作 步骤 如 下 : 
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196 。 网 络 安全 部 署 
= 
@ 在 “证 书 颁发 机 构 ” 对 话 框 中 , 右 击 证 书 颁发 机 构 , 然 后 选择 “属性 ”选项 ,如 图 11-43 


所 示 。 
@ 在 “属性 ”界面 中 ,选择 “常规 ”选项 卡 , 并 单 击 “ 查 看 证 书 ” 按 钮 ,可 以 看 到 证 书 的 详细 


信息 ,如 图 11-44 所 示 。 
了 xl 


[ 营 现 “详细 信息 | 证 书 路 径 | 


证 书信 息 

这 个 证 书 的 目的 如 下 : 
。 所 有 颁发 第 略 
“* 所 有 应 用 程序 策略 


=|D|X 


文件 但 ”操作 @) 查看 帮助 td) 
中 二 因 加 | 久 日 忆 | 名 国 | 
加 证书 堪 发 机 和 (本 地 ) 名 称 
白 


颁发 给 : zneserver2003 
颁发 者 : zncserver2003 


有 效 起 始 日 期 2011-6-11 到 2016-8-11 


ira [3 | 


11-44 ”证 书信 息 (2) 


11-43 “证 书 颁发 机 构 ” 对 话 框 
@ 选择 “详细 信息 ”选项 卡 并 单 击 “ 复 制 到 文件 ”按钮 ,启动 证 书 导出 向 导 。 选 择 “ 加 密 
消息 语法 标准 -PKCS#7 证 书 ” 的 文件 格式 ,如 图 11-45 所 示 。 


证 书 导 出 向 导 | 


导出 文件 格式 
可 以 用 不 同 的 文件 格式 导出 证 书 。 


选择 要 使 用 的 格式 
个 DER 编码 二 进 制 X. S09 CCER) @) 
个 Base64 编码 X. 509( CER) (5) 
人 加 和 消息 语法 标准 - Prs #7 证 节 ( PTB) (C) 
太 央 果 训 用 和 括 证 书 路径 让 所 有 证 书 人) 
人 个 人 信息 交 的 = PEDS #12(.PEXY 2) 
且 如 果 可 能 » 包 括 证 书 路 径 中 所 有 证 书信 
三 启用 加 强 保护 要 求 I 5.0， 卫 《4.0 SPs 或 更 局 版 本 ) 到 
下 如 果 导 出 成 功 7 姓 除 守 办 的 


《上 - 步 四 取消 | 
图 11-45 “证 书 导 出 向 导 ” 对 话 框 
@ 单 击 * 下 一 步 "按钮 ,将 该 证 书 导出 为 C:\root. p7b 文件 ,如 图 11-46 所 示 , 并 发 送 给 


客户 机 。 
@ 在 客户 机 上 打开 下 浏览 器 ,然后 选择 “工具 ”>“Internet 选项 ”菜单 项 ,在 弹出 的 对 


话 框 中 选择 “内 容 ” 选 项 卡 ,如 图 11-47 所 示 。 
@ 单 击 “ 证 书 ” 按 钮 ,打开 证 书信 息 对 话 框 ,然后 选择 “受信 任 的 根 证 书 颁发 机 构 ” 选 项 


卡 , 如 图 11-48 所 示 。 


工作 任务 十 一 一 Internet 信息 服务 的 安全 设置 


了 xj 
第 规 | 安全 | 障 私 内容 | 连接 | 程序 | 高 上 | 
1 分 5 曲直 
该 计算 机 上 看 到 的 Internet 
证 书 导 出 向 导 可 A 
要 导出 的 立 件 Lo | 
指定 要 导出 的 文件 名 
国 EE 证 书 颁发 机 构 和 颁发 商 的 
文件 名 四 : 
[root- pTb 浏览 人 清除 SSL 状态 G) | 证书)., ， | 发 行商 双 ) 
个 人 信息 
| 
和 人 邓 存放 的 了 p 和 文件 
《上 一 步 四 取消 确定 取消 [i 
11-46 指定 要 导出 的 文件 名 图 11-47 “内 容 ” 选 项 卡 
[xl 
了 目的 中 : 人 有》 
个 人 “| 其 他 人 | 中 组 证 书 报 发 机 构 “受信 任 的 根 证 书 颁 发 机 构 | 受信 任 的 发 行者 | 1?| 
发 内 颁发 | 蕉 止 日 期 【 好 记 的 名 
EJABA. ECOW Root CA 。 ABA. ECOM Root CA ‘2009-7-10 DST (ABA. ECO. 
国 Aatoridad Cert... Autoridad Certif 2009-8-29 Autoridad Ce 
国 Anatoridad Cert Autoridad Certif. 2009-6-30 Autoridad Ce， 
国 Baltinore EZ b Baltimore EZ by DST 2009-7-4 DST (Baltimo. 
国 Beleacon E-Tru ,. Belgacon E-Trust... 2010-1-21 Belgacon E-T. 
国 Ccar WT Secure. Caw HKT Securele 2009-1 CY HT Secur 
国 car JIT Secure. CaW HKT Securele. 2009-1. CY HKT Secur. 
国 cay WT Secure. Caw HKT Securele. 2010-1 CY HKT Secur 
[ara HET Sernre CAW HKT SornreNe Fnn9q-1 CY WET Sernr 到 
导入 QD)... | 导出 EE) 二 汉 | 高 级 以 ). 
证 书 的 预 明 目的 
| 可 看 Wj 


11-48 “受信 任 的 根 证 书 颁发 机 构 ” 选 项 卡 


@ 单 击 “ 导 入 "按钮 ,将 从 证 书 颁发 机 构 导 出 的 CA 证 书 文件 C:\root. p7b 导入 到 客户 
机 的 证 书 存储 区 ,如 图 11-49 所 示 ,此 时 表示 客户 机 已 经 信任 了 该 CA 颁发 的 证 书 。 

再 通过 “https://192.168. 31. 3” 来 访问 企业 Web 站 点 ,就 不 会 出 现 第 一 个 安全 警告 
标识 ,如 图 11-50 所 示 。 

消除 第 二 个 警告 标识 的 方法 很 简单 ,只 需 在 访问 企业 Web 站 点 时 输入 站 点 的 DNS 名 
或 计算 机 NetBIOS 名 称 即 可 。 如 果 服 务 器 位 于 互联 网 , 则 输入 DNS 名 ; 如 果 服 务 器 位 于 
Intranet, 则 输入 计算 机 的 NetBIOS 名 ,使 输入 的 站 点 名 称 和 安全 证 书 上 的 所 有 者 名 称 保持 
一 致 , 即 输入 “https://glserver2003” 就 不 会 出 现 安全 警告 了 。 
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x 


要 导入 的 文件 
指定 要 导入 的 文件 。 


文件 名 外); 


[EV\Documents and SettingsWdninistrator\root pTb 训 览 @ .- 
注意 : 用 下 列 格式 可 以 在 一 个 文件 中 存 竺 一 个 以 上 证 蔬 : 
个 人 信息 交换 - PKCS 机 2 CPPX, .P12) 
加 密 消息 语法 标准 - PECS 郑 证 书 (FTB) 
版 orosoft 系列 证 书 存 竺 (SST) 
sw [TE | 


x 

A 
@。 识 全 证 书 由 可 信 的 验证 机 构 改行 

@ 

AN 安全 证 书 上 的 名 称 无 效 ， 或 者 与 站 点名 称 不 了， 


一 站 查看 证 书 中 


11-49 指定 要 导入 的 文件 


11-50 安全 警报 (2) 


前 面 介绍 了 企业 Web 站 点 向 客户 端 用 户 证 明 身 份 的 服务 器 证 书 的 安装 。 下 面 介 绍 客 
户 端 向 Web 站 点 服务 器 证 明 自 己 身份 的 客户 端 证 书 的 安装 ,具体 操作 步骤 如 下 ， 

O@ 在 企业 Web 服务 器 端的 计算 机 上 ,打开 Internet 信息 服务 (IIS) 管 理 器 ,然后 在 Web 
站 点 的 “目录 安全 性 ”选项 卡 中 单 击 “ 安 全 通信 ”选项 区 域 的 “编辑 ”按钮 ,打开 “安全 通信 ”对 
话 框 。 在 对 话 框 内 选中 “要 求 客 户 端 证 书 ”, 如 图 11-51 所 示 。 

@ 客户 端 计算 机 打开 IE 浏览 器 ,输入 “https://192.168.31.3” 访 问 Web 站 点 ,会 弹出 


“选择 数字 证 书 ” 对 话 框 ,如 图 11-52 所 示 。 


x 
厂 启用 客户 端 证 书 映射 L) 
并 
BEE Es -一 
厂 所 用 证 书信 任 列表 如 
Wm CO: [了 J 


选择 数字 证 书 下 x| 
标识 
DN 悠 要 查看 的 网 站 要 求 标识 。 请 选择 证 书 。 


颁发 者 


更 多 信息 虽 ... | 译 丰 证书 


取消 帮助 


图 11-51 “安全 通信 ”对 话 框 


Cd ww | 


11-52 “选择 数字 证 书 ” 对 话 框 


如 果 没 有 安装 客户 端 证 书 , 则 没有 可 以 选择 的 证 书 ,直接 单 击 “ 确 定 ” 按 钮 ,会 弹出 “该 页 


需要 客户 证 书 ” 提 示 , 无 法 访问 。 


为 了 在 客户 机 上 申请 安装 客户 证 书 , 先 在 Web 服务 器 上 撤 选 “要 求 服务 端 证 书 ”, 改 选 


“忽略 客户 端 证 书 ”。 


Q@ 在 客户 机 上 访问 “https://192. 168. 31. 3/certsrv”, 然 后 单 击 “ 申 请 一 个 证 书 ” 超 级 链 
接 , 并 选择 申请 证 书 类 型 为 “Web 浏览 器 证 书 ”, 需 要 填写 识别 信息 ,最 后 单 击 “ 提 交 ” 按 钮 ， 


如 图 11-53 所 示 。 


下 Microsoft 证 书 服务 - MicrosOfEIREEATEE EAI =|9lxj 
文件 中 编辑) 可 看 V) 收 苔 @) 工具 D 帮助 td | 十 
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加 后- 日 -四 辐 抱 | 站 搜索 说 收藏 天 如 | cv 总 已 
地 址 (D) | 居 htp://192.16831.3/cersv/cerropiasp?ype=0 [| 回转 到 | 链接 省 


Web 浏览 器 证 书 - 识别 信息 


姓名 : test 


要 完成 您 的 证 书 ， 在 下 面 的 框 中 输入 要 求 的 信息 。 
电邮 件 :esi@i63com  ，， 


公司 : Eap 
am 


4 


国家 (地 区 ): [cr 
更 多 选项 >》 
司 
Ee CT re & 


图 11-53 识别 信息 


@ 弹出 “必须 启用 脚本 ”提示 窗口 ,如 图 11-54 所 示 。 


文件 中。 编辑 EE) 查看 收藏) 工具 CD 帮助 td) 


回顾 > 刁 - 因 辐 作 | 记 搜索 说 收 苹 夹 加 | > 避 上 


地 赴 (B) | 全 htw://192.168.31.111certsrvcertynx.asp 


EE 


穴 须 启用 脚本 
该 网 站 权 求 浏览 器 己 启 用 脚本 。 请 启用 脚本 ， 然 后 重 试 上 次 的 操作 。 副 


Ea 


[厂矿 内 memet 


A 


11-54 “必须 启用 脚本 ”提示 窗口 


@ 选择 IE 浏览 器 右键 属性 ,在 “安全 ”选项 卡 中 单 击 “ 自 定义 级 别 "按钮 ,在 “安全 设置 ” 


对 话 框 中 将 脚本 设置 为 "启用 ”, 如 图 11-55 所 示 。 

@ 单 击 “ 确 定 ” 按 钮 , 当 出 现 证 书 挂 起 界面 时 ， 
说 明证 书 申请 已 被 证 书 颁发 机 构 CA 收 到 ,等 待 管 
理 员 颁 发 证 书 。 

在 证 书 颁发 机 构 计 算 机 中 ,审核 并 完成 该 客户 
端 证 书 的 颁发 。CA 颁发 证 书后 ,在 客户 机 上 访问 
“https://192. 168. 31. 3/certsrv”, 然 后 单 击 “ 查 看 
挂 起 的 证 书 申请 的 状态 " 超 链接 ,并 选择 刚才 申请 
的 Web 浏览 器 证 书 。 

@ 单 击 “ 安 装 此 证 书 ” 超 链接 ,完成 客户 端 数字 
证 书 的 安装 。 若 出 现 * 潜 在 的 脚本 冲突 ?提示 对 话 
框 ,直接 单 击 “ 是 ”按钮 。 

回 到 企业 Web 站 点 的 “安全 通信 ”对 话 框 ， 
选择 “要 求 客户 端 证 书 ” 设 置 。 在 客户 端 通过 


设置 G) 
国 Tsrs 小 程序 脚本 
Q 〇 茜 用 
© 启用 
避 提示 剧 
活动 脚本 
〇 禁用 
@ 启用 
〇 提示 
国 爷 i 通 过 脚本 进行 灶 周 操作 
〇 禁用 
© 局 用 a 
3 上 
重 置 自 定义 设置 
天 RS- 商 ”重要 甸 
一 参 | 


图 11-55 “安全 设置 ?对 话 框 
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“https://192. 168. 31. 3 访问 企业 Web 站 点 ,将 弹出 “选择 数字 证 书 ” 对 话 框 ,这 时 可 以 选 
择 刚 刚 安装 的 客户 证 书 。 

单 击 “查看 证 书 ” 按 钮 ,查看 该 证 书 的 详细 信息 。 该 证 书 的 目的 是 客户 机 向 远程 计算 
机 (服务 器 ) 证 明 自 己 的 身份 。 

@@ 单 击 “ 确 定 ” 按 钮 ,访问 企业 Web 站 点 。 


11.4.2 任务 2: 构建 高 安全 性 的 FTP 服务 器 


1. 任务 目标 

对 广大 直面 各 种 网 络 攻击 的 网 络 管理 员 、 网 络 安全 工程 师 来 说 ,工作 中 必然 会 遇 到 各 种 
各 样 的 FTP 攻击 ,如 何在 满足 自己 日 常 所 需 功 能 的 前 提 下 ,构建 一 个 方便 、 快 捷 并 且 安 全 性 
足够 强 的 FTP 服务 器 成 为 必须 解决 的 问题 。 本 任务 主要 完成 使 用 IIS FTP Server 构建 可 
供 网 络 管理 员 维 护 使 用 的 FTP 服务 器 ,而且 安全 性 足够 高 。 


2. 工作 任务 

(1) 指定 FTP 的 IP 地 址 并 修改 默认 端口 ; 

(2) 定制 详细 的 FTP 日 志 , 记 录 相 关 信息 ; 

(3) 利用 NTFS 约束 FTP 用 户 权限 ; 

(4) 启用 目录 安全 性 ,杜绝 99% 的 各 类 FTP 攻击 。 


3, 工作 环境 
一 台 预 装 FTP 服务 的 Windows Server 2003/XP 主机 。 


4. 实施 过 程 

(1) 指定 FTP 的 IP 地 址 并 修改 默认 端口 
原则 是 使 用 专用 IP 进行 FTP 服务 器 搭建 ,使 用 足够 隐蔽 的 端口 进行 通信 。 

Oa 在 FTP 建立 向 导 的 “IP 地 址 和 端口 设置 ?对 话 框 进行 如 图 11-56 所 示 的 设置 。 


IP 地 址 和 蒙 口 设置 
为 FIP 站 点 指定 I 地 址 和 请 口 设置 . 


输入 此 FTP 站 点 使 用 的 IP 地 址 : 
ez. 168. 31 3 = 


输入 此 FIP 站 点 的 TC? 端口 鞭 认 = 21)- 


ps4 


mW | 


图 11-56 FTP 站 点 的 IP 地 址 和 端口 设置 


注意 : IP 地 址 不 能 选择 “全 部 未 分 配 ”, 应 该 尽量 使 用 一 个 独立 的 、 只 为 此 FTP 服务 器 
提供 的 独特 IP 地 址 。 这 个 IP 地 址 没有 公开 ,只 有 相关 人 员 知 道 。 这 个 IP 地 址 可 以 用 来 使 
用 FTP 服务 ,也 可 以 用 来 进行 其 他 独特 的 服务 器 隐藏 管理 。 另 外 ,使 用 足够 隐藏 的 端口 进 
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= 

行 通信 ,端口 设置 建议 不 用 默认 端口 ,而 是 设置 成 一 个 大 于 10000 且 小 于 65535 的 数字 ,这 
是 因为 很 多 端口 扫描 工具 默认 情况 下 都 不 会 扫描 这 部 分 端口 ,而 攻击 者 如 果 手 动 设置 扫描 
端口 的 话 ,出 于 时 间 和 速度 的 考虑 ,也 很 少 定义 1 一 65535 这 样 的 端口 扫描 规则 ,所 以 很 容 
迷惑 攻击 者 ,让 他 们 不 知道 还 有 一 个 高 端 端口 在 系统 中 发 挥 作用 。 

@ 采用 默认 步骤 ,建立 一 个 新 的 FTP 服务 器 。 

@ 在 CMD 命令 提示 符 下 使 用 “netstat -an 命令 ,可 以 看 到 系统 中 新 开 了 一 个 端口 ,并 
且 该 端口 正在 监听 ,如 图 11-57 所 示 。 


日-B-B-B 


9.0.0.0: 
09.0.0.8: 
9.8.0-0: 

0.0.9.0: 


0.8.8.0: 
0.8.8 
.0 

日 


图 11-57 系统 新 开 的 端口 


(2) 定制 详细 的 FTP 日志, 记录 相关 信息 
IIS 的 FTP 系统 有 非常 完善 .丰富 的 日 志 记录 系统 。 使 用 日 志 系统 来 时 刻 记 录 FTP 服 
务 器 的 运行 状态 是 非常 重要 的 。 

Q@ 右 击 新 建 的 FTP 站 点 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”按钮 ,界面 如 图 11-58 所 示 ， 

可 以 看 到 IIS 管理 器 下 FTP 站 点 中 新 建站 点 的 FTP 日 志 系统 的 默认 设置 情况 。 
7]x| 

FTP 站 点 | 安全 账户 | 消息 “| 主 目录 | 目录 安全 性 | 

FTP 站 点 标识 


描述 @) 3 
理 地 址 人 L) 192. 168. 31.3 = 


TCF 端口 四 :|sssl2 


FTP 让 点 连接 
个 不 要 限制 中 
人 连接 限制 为 100/000 
这 摘 i88j 0) C) EE 
友 局 用 日 志 记 录 四) 
活动 日 志 格 式 中 
[rsc 扩展 日 老 文件 箱 式 了 虱 性 四 


蕊 证 |] 了 消 才 助 


图 11-58 “FTP 属性 ”的 “FTP 站 点 ?选项 卡 设置 
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@ 单 击 对 话 框 中 “启用 日 志 记 录 ” 右 侧 的 “属性 ”按钮 ,弹出 “日 志 记 录 属 性 ”对 话 框 。 选 
择 “ 新 日 志 计 划 ” 下 的 “ nt 20MB” 时 开始 生成 新 的 日 志 记 录 文 件 ,设置 “日 志 
OE 到 每 个 FTP 用 户 单 独 使 用 的 文件 夹 下 ,如 图 11-59 所 示 。 

日 志 记 录 属 性 "设置 是 对 日 志 系统 进行 详细 的 高 级 定义 ,定义 的 内 容 就 是 设置 攻击 者 

或 者 可 能 发 生 的 攻击 可 能 存在 的 典型 特征 。“ 新 日 志 计 划 ” 控 制 每 个 日 志文 件 的 生成 规则 ， 
默认 是 每 天 生成 一 份 新 的 FTP 日 志 。 假 如 攻击 者 对 某 目标 FTP 服务 器 进行 大 规模 分 布 式 
暴力 破解 攻击 ,如果 FTP 日 志 是 按 默 认 的 记录 方式 记录 ,会 产生 无 比 庞大 的 单一 文件 ,甚至 
可 能 达到 几 十 GB 的 大 小 ,导致 系统 运行 出 现 问题 。 因 此 ,选择 “新 日 志 计 划 ” 下 的 “ 当 文 件 
大 小 达到 20MB” 时 开始 生成 新 的 日 志 记 录 文 件 ,以 方便 分 析 和 调用 。 

“日 志文 件 目录 ”也 是 非常 重要 的 选项 ,定义 FTP 日 志 存 放 的 地 址 ,默认 存放 在 “C:\ 
WINDOWS\system32\LogFiles” 下 。 事 实 上 ,对 于 任何 被 攻击 者 广泛 了 解 的 默认 选项 ,都 
应 该 进行 许可 范围 内 的 更 改 。 正 是 出 于 对 操作 系统 所 在 盘 的 保护 , 才 更 改 “ 日 志文 件 目录 ”。 
因此 ,设置 “日 志文 件 目录 ”到 每 个 FTP 用 户 单独 使 用 的 文件 夹 下 ,但 不 赋予 该 用 户 对 此 日 
志 记 录 文 件 的 访问 权限 。 

@ 单 击 “ 日 志 记 录 属 性 ”的 “高 级 ”选项 卡 ,对 扩展 日 志 选 项 进行 选择 。 一 个 设置 好 的 日 
志 系 统 记录 信息 如 图 11-60 所 示 。 


日 志 记 录 属 性 x| 日 志 记录 属性 x| 
和 规 | 高 级 | 第 讽 高 级 | 
新 日 志 计 划 
三 每 小 时 国 ) 回 日 期 ( daate ) 
广 每 天 四 ) Pe tine ) 
个 每 周 他 ) 四 客 己 身 IP 地 址 ( c-ip ) 
个 每 月 人 0 
斑 不 限制 文件 大 小 U) 
个 当 文件 大 小 达到 GE) ] 址 ( 一 
pm Eh 
二 回 方法 ( cs-method ) 
中 王 和 (era )， 
三 六 件 命 各 和 创 当 使 用 当地 时 间 CY) 口 URI 查询 [ cs-uri-query 
> 协议 状态 ( ) 
日 志文 件 目录 0): 2 协议 子 拓 态 (3e sebstatus ) 
Er VEtproot\ol\ Ftpol ET a 
Dm "7 、 
日 志文 件 名 : IISFTPSYCT248Vextend# 1og 
We | 了 | ER 用 外 | Dw | 
图 11-59 “日 志 记录 属性 ?对 话 框 的 11-60 “日 志 记录 属性 ?对 话 框 的 
“常规 ?选项 卡 设置 “高 级 ”选项 卡 设置 


一 个 能 记录 绝 大 多 数 攻击 者 和 使 用 者 行为 的 日 志文 件 应 该 包含 以 下 信息 : 日 期 ( 非 默 
认 选 中 ,需要 手动 选中 ) 、 时 间 ( 默 认 选 中 )、 客 户 端 IP 地 址 (默认 选中 ) ,用户 名 ( 非 默 认 选 中 ， 
需要 手动 选中 ) .方法 (默认 选中 ) 、URL 资源 (默认 选中 ) .协议 状态 (默认 选中 ) Win32 状态 
(默认 选中 ) .所 用 时 间 ( 非 默认 选中 ,需要 手动 选中 ) 和 用 户 代理 ( 非 默认 选中 ,需要 手动 
选中 ) 。 

需要 注意 的 是 ,并 不 是 日 志 系统 记录 的 信息 越 多 越 好 。 因 为 日 志 系统 记录 FTP 用 户 
(包括 攻击 者 和 正常 用 户 ) 的 访问 毕竟 需要 消耗 资源 ,而 且 生 成 的 日 志 记 录 同 样 需要 存放 空 
间 。 如 果 记 录 项 目 过 多 ,可 能 引起 系统 资源 消耗 大 ,日 志文 件 占用 空间 大 的 问题 。 
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(3) 利用 NTFS 约束 FTP 用 户 权 限 

使 用 NTFS 文件 系统 时 ,必须 为 账户 授予 相应 的 NTFS 权限 ,才能 访问 对 应 的 文件 或 
文件 夹 ,可 以 在 一 定 程 度 上 保护 数据 的 安全 。 

首先 创建 专用 的 FTP 账户 和 对 应 的 FTP 文件 夹 ,操作 步骤 如 下 : 

中 假设 有 三 名 网 络 管理 员 需 要 对 服务 器 进行 经 常 性 的 维护 ,而 且 各 自 的 工作 职能 不 同 ， 
则 在 命令 行 下 ,使 用 如 下 命令 建立 三 个 专用 的 FTP 账户 ,命令 执行 情况 如 图 11-61 所 示 。 

Net user ftp01 Pass@001 /add 

Net user ftp02 Pass@002 /add 

Net user ftp03 Pass@003 /add 

注意 : 受到 组 策略 影响 ,创建 的 用 户 密码 必须 满足 8 位 以 上 ,包含 大 /小 写字 母 , 数 字 和 
特殊 符号 ,否则 创建 账户 将 失败 。 


图 11-61 创建 账户 


@ 使 用 “net user" 命 令 创 建 的 系统 账户 默认 属于 “user" 组 。 利 用 “net” 命 令 把 这 些 账 户 
从 “user” 组 删除 ,并 指派 到 “Guest” 用 户 组 。 以 ftp01 账户 为 例 , 使 用 “net localgroup users 
ftp01 /del” 命 令 删 除 “user” 组 权限 ,然后 使 用 “net localgroup guests ftp01 /add” 命 令 将 该 账 
户 指 派 到 “Guest” 组 。 命 令 执 行情 况 如 图 11-62 所 示 


图 11-62 指派 权限 


@ 以 系统 管理 员 身 份 找到 FTP 的 根 文件 夹 ,分 别 为 每 个 用 户 创建 一 个 对 应 的 文件 夹 , 同 
时 建立 各 FTP 用 户 的 日 志 记 录 文 件 夹 。 例 如 ,ftp01 账户 对 应 的 FTP 文件 夹 是 d:\ftproot\01\ 
ftp01 ,该 账户 的 日 志 记录 文件 夹 是 d:\ftproot\01\1log01。 日 志文 件 夹 的 访问 权限 可 以 保留 
默认 ,或 者 添加 日 志 记录 必要 的 系统 权限 ,只 要 FTP 用 户 不 能 访问 即 可 。 

然后 ,利用 NTFS 约束 FTP 用 户 权限 ,具体 操作 如 下 : 

QO@ 选择 *FTP 属性 ”对 话 框 的 “安全 账户 ”选项 卡 .然后 取消 勾 选 “允许 匿名 连接 ”前 的 复 
选 框 ,如 图 11-63 所 示 。 
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FTP 属性 了 xl 
FIP 站 点 安全 账户 | 消息 | 主 目录 | 目录 安全 性 | 
Ei 
列 匿 多 访问 使 用 下 列 | 而 5 用户 忆 户 
用 户 名 WU | 浏览 中) 


BD Fe 


厂 只 办 许 医 名 连接 下) 


Ca ] ws | miw | Ww | 
图 11-63 “FTP 属性 ”对 话 框 的 “安全 账户 ”选项 卡 设置 


@ 出 现 账 户 安全 提示 ,如 图 11-64 所 示 , 单 击 “ 确 定 ” 按 钮 返回 , 则 此 时 取消 了 IIS 下 FTP 
的 匿名 访问 机 制 ,所 有 登录 FTP 服务 器 的 账户 都 需 园 
要 系统 指派 。 Ed 

匿名 访问 是 IIS 下 FTP 服务 器 的 默认 设置 。 此 
设置 可 以 很 好 地 支持 普通 用 户 的 FTP 访问 ,但 若 要 用 on 区 
建立 高 安全 性 的 FTP 服务 器 ,此 项 设置 必须 去 除 。 A 

@ 选择 “FTP 属性 ”对 话 框 的 “ 主 目录 ”选项 是 中 | [EEN] ww | 
卡 , 更 改 FTP 站 点 目录 ,如 图 11-65 所 示 。 

四 利用 组 策略 启 用 密码 复杂 性 策略 和 密码 最 11-64 安全 提示 (2) 
小 值 策略 。 

@ 选中 ftp01 文件 夹 , 右 击 选择 “安全 ”选项 ,弹出 “ftp01 属性 ”对 话 框 的 “安全 ”选项 卡 。 
然后 单 击 界面 中 的 “添加 ”按钮 ,查找 并 选中 ftp01 账户 ,如 图 11-66 所 示 。 


aE Hy 
FTP 站 点 | 安全 账户 | 消息 。 主 目录 | 目录 安全 性 | 第 规 | 共享 ”安全 | mev 共享 | 自 定义 | 
此 资源 的 内 容 来 源 : 姐 或 用 户 名 称 @); 


Adninistrators (ZNCSERVER2003\Administrators) 
caEATor ove 


个 此 计算 机 上 的 目录 器) 
个 另 一 各 计算 机 上 的 目录 
FIP 站 点 目录 


本 地 路 径 @)， Feor 。。。。。。。 浏 咱 @ sts 
区 -al RUsers CMcsERYER2003\Vsers) 
厅 读 取 加 
FAV 三 
厅 记录 访问 四 Etaal 的 可 限 加 ) 介 洗 折扣 
目录 到 二 样式 口 OO 
CRD 日 
人 IsS-D0s DR G) 回 口 
回 口 
口 OO 
a 


取消 ”| 。 应 用 多 ) 帮助 确定 取消 应 用 的 ) 


图 11-65 “ 主 目录 ”选项 卡 (2) 图 11-66 “安全 ”选项 卡 (2) 
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@ 默认 情况 下 ,这 里 有 很 多 继承 于 上 级 文件 夹 的 权限 ,需要 删除 这 些 默 认 权限 。 

以 删除 “SYSTEM” 为 例 , 选 中 “SYSTEM”, 然 后 单 击 “ 删 除 ” 按 钮 , 系统 提示 “因为 
SYSTEM 从 其 父系 继承 权限 ,您 无 法 删除 此 对 象 ,要 删除 “SYSTEM? ,您 必须 阻止 对 象 继 
承 权限 。 关 闭 继承 权限 的 选项 ,然后 重 试 删除 “SYSTEM? 。”, 如 图 11-67 所 示 。 


4 


人 因为 'SvsTEM' 从 其 父系 继承 权限 ， 您 无 法 删除 此 对 象 。 要 删除 " 
SYSTEM"， 您 关闭 继承 权限 的 选项 ， 然 
后 重 试 删除 'SYSTEM' 


二 


图 11-67 安全 提示 (3) 


@ 单 击 “ 确 定 ” 按 钮 ,然后 单 击 “ 高 级 "按钮 ,弹出 “高 级 安全 设置 ”对 话 框 ,如 图 11-68 
所 示 。 


ftp01 的 高 级 安全 设置 卫 y 
权限 。 | 审核 “| 所 有 者 | 有 效 权限 | 


要 查看 有 关 特 杰 权 限 的 详细 信息 ， 请 违 择 一 个 权限 项 目 ， 然 后 单 而“ 编辑 ”. 


谈 文 | 于 守 溃 
只 有 子 文件 去 及 文件 

CS 该 文件 严 ， 子 文件 ， 
父 对 象 该 文件 顽 及 子 文 件 垃 


允许 。 Users CNCSERVE 特殊 
区 许 。 Users CZNCSERYE 读 取 和 运行 父 对 象 该 文件 买 ， 子 文件 
添加 弛 ) Lic L300 出 除 他 ) 


友 区 许 父 项 的 继承 机 限 传播 到 该 对 象 和 所 有 子 对 象 。 包 括 那 些 在 此 明确 定义 的 项 目 (4)。 
厂 用 在 此 显示 的 可 以 应 用 到 子 对 象 的 项 目 苦 代 所 有 子 对 象 的 权限 项 目 中) 


进一步 了 解 访问 控制 。 


取消 Rw | 
11-68 “高 级 安全 设置 "对话 框 


去 掉 “ 允 许 父 项 的 继承 权限 传播 到 该 对 象 和 所 有 子 对 象 ”前 面 的 “MV”, 弹 出 如 图 11-69 
所 示 对 话 框 。 
x 
打下 有 到 了 对 和 的 人 项 5 限 项 目下 人 用 到 这 人 对 


以 前 应 用 的 权限 项 目 从 父 项 复制 面 这 个 对 象 ， 请 单 击 “ 复 
二 人 项 目 并 只 保全 在 这 儿 罗 二 的 权 


-要 取消 这 个 操作 ， 请 单 击 “取消 ”。 


MW | | 


图 11-69 安全 提示 窗口 


@ 单 击 “ 删 除 ” 按 钮 ,删除 残留 在 界面 中 的 其 他 选项 ,然后 单 击 “ 确 定 ” 按 钮 。 此 时 ， 
ftp01 默认 拥有 部 分 权限 ,包括 * 读 取 和 运行 "…“ 列 出 文件 夹 目 录 ”“ 读 取 ” 三 种 。 因 为 网 络 管 
员 需 要 经 常 使 用 FTP 的 上 传 功能 ,因此 选中 * 写 人 ”权限 。 以 ftp01 账户 为 例 , 设 置 完成 
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后 的 界面 如 图 11-70 所 示 。 
外 单 击 “ 确 定 ” 按 钮 ,此 时 远程 登录 FTP 站 点 ,会 弹出 “登录 身份 "对话 框 ,如 图 11-71 


所 示 。 
1 
常规 | 共享 ”安全 | re 共享 | 自 定义 | 
姐 或 用 户 名 称 G@) 
x| 
2 职务 器 不 区 许 匿名 登录 , 或 者 不 接受 该 电 子 邮 件 地 址 。 
FTP 服务 器 : 192. 168.31.3 
用 户 名 四 : | 本 


要 码 四): 
登录 后 ， 可 以 格 这 个 服务 器 球 加 到 | 的 收藏 亚 ， 以 便 径 易 返回 。 


前 不 加 或 的 友 和 码 歌 数 据 。 要 保护 友 
人 本 内 本 和 向 


进一步 了 解 使 用 Yeb 文件 次, 
厂 巷 名 车 录 (A) 厂 保存 密码 @) 


CD _ ww | 


um | ssw | 


图 11-70 设置 ftp01 的 权限 图 11-71 “登录 身份 ”对话 框 


@ 输入 账户 ftp01 的 密码 Pass@001 ,登录 到 对 应 文件 夹 ftp01, 并 能 完成 上 传 功 能 ,如 
图 11-72 所 示 。 若 登录 其 他 用 户 对 应 的 文件 夹 ,将 弹出 错误 提示 ,如 图 11-73 所 示 。 


=|Gjxl 


3 
Qi v 避 -人 | 万 搜 索 一 文件 夹 | 不 方 X 四 | 四" 
者 址 (Dj 自如 /ngz.15831.3:65512001Ppol/ 可 回转 到 
名 称 ~ 大 小 | 类 型 修改 时 间 3 
-~ (©) 2011-8-9 12:20 
加 新 建 8MP 图 像 bmp 0 字 节 sMP 图 像 2011-8.9 11:59 
新 建 RTF 文档 rtf 日 字 节 RTF 文档 2011-8.9 12:11 
新 建 wnRAR 压缩 文件 rar 20 字 节 wnRAR 压 编 文件 。 2011-8-9 12:11 
目 新 建文 本 文档 .bt 0 字 节 文本 文档 2011-8-9 12:10 F 
1 让 | 
园 户 : fpol | 世 memet 可 


文件 从” 编 国 局 可 看 收藏 地) 工具 QD 帮助 0 
DR "名 ”| 站 搜索 己 文 件 灾 [未 广义 多 | 加 > 
(Wt(D) fa rp://e2.166 31.3:65512/02/Rpo2/ 了 ] 回转 到 


茵 在 查找 文件 夹 Re/Rp02/ 园 户 : fpol | 局 nemet 


11-73 ”错误 提示 
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@@ 在 FTP 服务 器 的 主机 上 , 非 ftp01 用 户 都 无 法 访问 可 
ftp01 文件 夹 , 如 图 11-74 所 示 。 (x 证 生 sn 
(4) 启用 目录 安全 性 ,杜绝 99% 的 各 类 FTP 攻击 人 
如 果 攻 击 者 即便 得 到 FTP 账户 密码 也 没有 登录 权限 ,就 能 [| 


解决 起 码 99% 以 上 的 攻击 。 在 IIS 的 FTP Server 中 ,“ 目 录 安 全 图 11.74 拒绝 访问 提示 窗口 
性 ?可 以 实现 这 个 功能 ,不 过 策略 有 些许 变化 ,具体 步骤 如 下 : 
右 击 FTP 站 点 ,然后 选择 * 属 性 ?项 ,打开 *FTP 属性 ?对 话 框 ; 选择 “目录 安全 性 ”选项 
卡 , 在 界面 中 选择 “拒绝 访问 ”, 然 后 单 击 * 添 加 ?按钮 ,定义 允许 访问 的 单一 计算 机 、 多 台 计算 
机 ,设置 好 的 界面 如 图 11-75 所 示 。 
了 


ETP 站 点 | 安全 账户 | 消息 | 主 目录 目录 安全 性 | 


FTCP/IP 地 址 访问 限制 
默认 情况 下 ,所 有 计算 机 都 格 被 。 @7 个 授权 访问 B) 


下 面 列 出 的 除外 : 加 6 拒 引 访问 中 


图 11-75 “目录 安全 性 ?设置 


“目录 安全 性 ?是 通过 FTP 用 户 登录 的 IP 地 址 进行 判断 的 一 种 机 制 。 图 11-75 中 的 
“拒绝 访问 ?代表 默认 拒绝 所 有 IP 的 FTP 使 用 请 求 ,除非 请 求 登 录 FTP 的 计算 机 IP 地 址 
包含 在 “下 面 列 出 的 除外 ”列表 框 中 。 通 过 这 个 设置 ,管理 员 可 以 控制 唯一 的 ,或 者 是 极 少 的 
绝对 信任 IP 可 以 使 用 FTP 功能 。 


11.5 常见 问题 解答 


在 “安全 通道 ”对 话 框 中 ,“ 忽 略 客户 端 证 书 ”“ 接 受 客户 端 证 书 ” 和 "要求 客 户 端 证 书 ” 三 
个 单 选 按钮 的 区 别 是 什么 ? 

答 : SSL 协议 支持 的 是 服务 器 端的 认证 ,主要 通过 客户 端 对 服务 器 端的 数字 证 书 进行 
认证 ,对 客户 端的 认证 是 可 选 的 ,因此 在 “安全 通信 ”对 话 框 中 有 三 个 单 选 按钮 供 选 择 。 三 者 
的 区 别 是 :“ 忽 略 客户 端 证 书 ? 是 指 服务 器 端 不 向 客户 端 发 送 请 求 客户 端 证 书 的 消息 ;“ 接 
受 客户 端 证 书 ” 是 指 服务 器 端 向 客户 端 发 送 请 求 客 户 端 证 书 的 消息 ,但 不 要 求 客户 端 必须 提 
供 证 书 , 即 服务 器 端 可 以 容忍 客户 不 具备 证 书 的 情况 ;“ 要 求 客户 端 证 书 ” 是 指 服务 器 端 向 
客户 端 发 送 请 求 客户 端 证 书 的 消息 ,并 强制 要 求 客户 端 必须 提供 证 书 ,否则 通信 将 中 断 。 如 


207 


208” ”网络 安全 部 署 
~ 


果 要 求 Web 服务 器 既 可 以 接收 HTTP 请 求 ,也 可 以 接收 HTTPS 请 求 , 并 要 求 客户 端 提供 
数字 证 书 , 需 要 选中 “接受 客户 端 证 书 ” 单 选 按 钮 ,注意 不 要 选中 “要 求 安全 通道 (SSL)” 复 选 
框 。 如 果 Web 服务 器 管理 员 和 希望 Web 服务 器 只 接收 HTTPS 请 求 ,并 要 求 客户 IE 浏览 器 
和 Web 服务 器 之 间 实 现 128 位 加 密 , 并 且 不 要 求 客户 端 提供 数字 证 书 ,需要 选中 “要 求 安全 
通道 (SSL)" 复 选 框 ,选中 “要 求 128 位 加 密 ” 复 选 框 ,并 选中 “忽略 客户 端 证 书 ” 单 选 按钮 。 
如 果 选 中 “要 求 安全 通道 (SSL)” 复 选 框 ,并 选中 “要 求 客户 端 证 书 ” 单 选 按 钮 ,那么 Web 服 
务 器 将 对 客户 端 证 书 进行 强制 认证 。 


11.6 过 关 练 习 


一 、 选 择 题 
1. 以 下 用 于 在 网 络 应 用 层 和 传输 层 之 间 提 供 加 密 方案 的 协议 是 (  )。 
A. PGP B. SSL C. IPSec D. DES 


2. 某 Web 网 站 向 CA 申请 了 数字 证 书 。 用 户 登录 该 网 站 时 ,通过 验证 ( ) ,可 确认 
该 数字 证 书 的 有 效 性 ,从 而 ( )5 
(1) A. CA 的 签名 B. 网 站 的 签名 ”C. 会 话 密 钥 D. DES 密码 
(2) A. 向 网 站 确认 自己 的 身份 B. 获取 访问 网 站 的 权限 
C. 和 网 站 进行 双向 认证 D. 验证 该 网 站 的 真 伪 
) 不 属于 PKI CA( 认 证 中 心 ) 的 功能 。 
. 接受 并 验证 最 终 用 户 数字 证 书 的 申请 
.向 申请 者 颁发 或 拒绝 颁发 数字 证 书 
. 产生 和 发 布 证 书 废止 列表 (CRL) ,验证 证 书 状态 
D. 业务 受理 点 LRA 的 全 面 管理 
4. 为 保障 Web 服务 器 的 安全 运行 ,对 用 户 要 进行 身份 验证 。 关 于 Windows Server 2003 
中 的 “集成 Windows 身份 验证 ”, 下 列 说 法 错误 的 是 ( )'s 
A. 在 这 种 身份 验证 方式 中 ,用 户 名 和 密码 在 发 送 前 要 经 过 加 密 处 理 ,所 以 是 一 种 安 
全 的 身份 验证 方案 
B. 这 种 身份 验证 方案 结合 了 Windows NT 质询 /响应 身份 验证 和 Kerberos V5 身 
份 验 证 两 种 方式 
C. 如 果 用 户 系统 在 域 控制 器 中 安装 了 活动 目录 服务 ,而 且 浏 览 器 支持 Kerberos V5 
身份 认证 协议 , 则 使 用 Kerberos V5 身份 验证 
D. 客户 机 通过 代理 服务 器 建立 连接 时 ,可 采用 集成 Windows 身份 验证 方案 进行 验证 
5. 实现 保密 通信 的 SSL 协议 工作 在 HTTP 层 和 ( ) 层 之 间 。SSL 加 密 通道 的 建立 
过 程 如 下 : 首先 ,客户 端 与 服务 器 建立 连接 ,服务 器 把 它 的 ( ) 发 送 给 客户 端 ; 客户 端 随 
机 生成 ( ) ,并 用 从 服务 器 得 到 的 公 钥 对 它 进 行 加 密 , 通 过 网 络 传送 给 服务 器 ; 服务 器 使 
用 ( ) 解 密 得 到 会 话 密 钥 ,客户 端 和 服务 器 端 就 建立 了 安全 通道 。 
A. TCP B. IP C. UDP D. 公 钥 
E. 私 钥 F. 对 称 密 钥 G. 会 话 密 钥 H. 数字 证 书 
I. 证 书 服务 
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6. 在 安装 SSL 时 ,在 "身份 验证 方法 ?对 话 框 中 应 选用 的 登录 验证 方式 是 (  )。 


A. 匿名 身份 验证 B. 基本 身份 验证 
C. 集成 Windows 身份 验证 D. 摘要 式 身份 验证 
7. 若 FTP 服务 器 开启 了 匿名 访问 功能 ,匿名 登录 时 需要 输入 的 用 户 名 是 ( 让 
A. root B. user C. guest D. anonymous 
二 、 填空 题 
SSL 协议 使 用 密 钥 体制 进行 密 钥 协商 。 在 IIS 6. 0 中 , Web 服务 器 管理 员 必 
须 先 安装 Web 站 点 证 书 , Web 服务 器 才能 支持 SSL 会 话 。 通 常 ,数字 证 书 由 颁 
发 ,其 格式 遵循 ITU-T 标准 。 
三 、 简 答题 


IIS 服务 器 安全 设置 的 方法 有 哪些 ? 


企业 网 中 主要 网 络 设备 的 安全 配置 


学 习 情境 三 主要 介绍 企业 网 中 主要 网 络 设备 的 安全 配置 ,以 及 主流 网 络 安全 设备 的 配 
置 和 管理 ,包括 交换 机 、 路 由 器 、 网 络 防火 墙 \, 人 侵 检测 系统 IDS、VPN 服务 器 等 产品 的 基本 
配置 .基本 界面 和 功能 配置 。 学 生 通 过 5 个 工作 任务 的 训练 ,掌握 最 常用 的 网 络 设备 交换 机 
和 路 由 器 的 安全 配置 ; 熟悉 防火 墙 的 部 署 与 配置 ; 利用 入 侵 检 测 系统 IDS 进行 事件 查询 和 
报表 查看 的 方法 , 自 定义 规则 和 关联 规则 的 作用 和 配置 方式 ; 正确 配置 VPN 服务 器 ,并 采 
用 正确 方法 对 VPN 连接 结果 进行 检查 。 

通过 本 单元 所 有 任务 的 实践 ,可 以 学 会 如 何 对 企业 网 网 络 设备 进行 安全 部 署 ,解决 网 络 
安全 设备 配置 中 遇 到 的 问题 。 


本 学 习 情 境 需 要 完成 的 工作 任务 如 下 : 

工作 任务 十 二 设置 企业 网 中 交换 机 安全 

工作 任务 十 三 ”设置 企业 网 中 路 由 器 安全 

工作 任务 十 四 ”防火墙 的 配置 与 应 用 

工作 任务 十 五 “入侵 检测 系统 IDS 的 部 署 与 配置 
工作 任务 十 六 VPN 服务 器 的 配置 与 管理 


[工作 任务 十 二 
一 “设置 企业 网 中 交换 机 安全 


121 用 户 需 求 与 分 析 


交换 机 的 主要 功能 是 提供 网 络 数据 包 优化 和 转发 ,存在 被 攻击 或 入 侵 的 危险 。 一 旦 入 
侵 者 得 到 交换 机 的 控制 权限 ,所 有 通过 该 交换 机 转发 的 数据 包 都 将 受到 威胁 。 通 常情 况 下 ， 
网 络 安全 管理 员 可 以 通过 配置 端口 传输 控制 .端口 认证 .ARP 检测 、 创 建 VLAN 等 措施 加 
强 交 换 机 的 安全 性 。 


122 预备 知识 


1, 在 交换 机 上 实现 访问 控制 列表 

访问 控制 列表 (Access Control List, ACL) 是 一 种 访问 控制 技术 ,被 广泛 应 用 于 三 层 交 
换 机 和 路 由 器 。 借 助 ACL 可 以 有 效 控制 用 户 对 网 络 和 Internet 的 访问 ,从 而 最 大 限度 地 保 
障 网 络 安全 。 

交换 机 支持 三 种 访问 控制 列表 的 应 用 过 滤 传 输 , 可 以 在 同一 交换 机 上 实施 端口 访问 列 
表 、 路 由 访问 列表 和 VLAN 访问 列表 ,端口 访问 列表 优先 于 路 由 访问 列表 和 VLAN 访问 列 
表 。 可 以 根据 网 络 管理 员 指定 的 访问 控制 准则 来 控制 端口 对 数据 包 的 接收 和 拒绝 。 

访问 列表 的 类 型 有 三 种 : 标准 IP 访问 列表 、 扩 展 IP 访问 列表 和 命名 访问 控制 列表 。 

标准 IP 访问 列表 只 允许 过 滤 源 地 址 ,根据 源 网 络 、 子 网 或 主机 的 IP 地 址 来 决定 对 数据 
包 的 过 滤 , 且 功能 十 分 有 限 。 当 阻止 来 自 某 一 网 络 的 所 有 通信 流量 ,或 者 允许 来 自 某 一 特定 
网 络 的 所 有 通信 流量 ,或 者 拒绝 某 一 协议 簇 的 所 有 通信 流量 时 ,可 以 使 用 标准 IP 访问 控制 
列表 来 实现 。 标 准 访问 控制 列表 检查 路 由 器 的 数据 包 的 源 地 址 ,从 而 允许 或 拒绝 基于 网 络 、 
子 网 或 主机 的 IP 地 址 的 所 有 通信 流量 通过 三 层 设备 的 出 口 。 

扩展 IP 访问 控制 列表 允许 过 滤 源 地 址 .目的 地 址 和 上 层 应 用 数据 ,因此 可 以 适应 各 种 
复杂 的 网 络 应 用 。 扩 展 卫 访 问 控制 列表 既 检 查 数据 包 的 源 地 址 ,也 检查 数据 包 的 目的 地 
址 ,还 检查 数据 包 的 特定 协议 类 型 .端口 号 等 。 扩 展 了 访问 控制 列表 具有 灵活 性 和 扩充 
性 ,针对 某 一 地 址 ,允许 使 用 某 些 协议 的 通信 流量 通过 ,而 拒绝 使 用 其 他 协议 的 流量 

在 标准 与 扩展 IP 访问 控制 列表 中 均 要 使 用 表 号 ,而 在 命名 访问 控制 列表 中 使 用 一 
母 或 数字 组 合 的 字符 串 来 代替 这 些 数字 。 使 用 命名 访问 控制 列表 可 以 删除 某 一 特定 的 控制 
条 目 ,这 样 ,可 以 在 使 用 过 程 中 方便 地 进行 修改 。 
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配置 访问 控制 列表 的 具体 步骤 是 : 定义 一 个 标准 (或 扩展 ) 的 访问 控制 列表 ; 为 访问 控 
制 列 表 配 置 包 过 滤 的 准则 ; 配置 访问 控制 列表 的 应 用 接口 。 


2. 基于 端口 的 传输 控制 

在 局 域 网 安全 架构 中 ,交换 机 安全 是 非常 重要 的 ,在 整个 内 网 安全 体系 中 起 了 决定 性 的 
作用 。 目 前 大 多 数 局 域 网 中 都 配 有 三 层 交换 机 ,安全 功能 非常 丰富 ,通过 合理 配置 ,与 网 络 
防火 墙 协 同 工 作 ,成 为 网 络 安全 的 又 一 道 屏障 。 借 助 对 端口 传输 控制 的 配置 , 既 可 以 有 效 杜 
绝 广 播 风 暴 对 整个 网 络 的 冲击 ,从 而 保证 网 络 的 正常 通信 ; 又 可 以 拒绝 未 被 授权 的 计算 机 
接 人 网 络 ,或 者 限制 某 个 接口 接 人 计算 机 的 数量 ,从 而 保证 网 络 的 接 和 人 安全 ,避免 网 络 被 个 
别 用 户 滥用 。 

当 端口 收 到 大 量 的 广播 . 单 播 或 多 播 包 时 ,会 发 生 广播 风暴 。 转 发 这 些 包 将 导致 网 络 速 
度 变 慢 或 超时 。 借 助 于 对 端口 的 广播 风暴 控制 ,可 以 有 效 避 免 硬 件 损坏 或 链 路 故障 而 导致 
的 网 络 瘫 痪 。 默 认 情 况 下 ,广播 ,多 播 和 单 播 风暴 控制 被 禁用 ,需要 时 可 将 其 开启 。 

流 控制 只 适用 于 1000Base-T、1000Base-SX、10GBase-FX 和 GBIC 端口 。 在 千 兆 端口 
启用 流 控制 后 ,可 以 在 拥塞 期 间 暂 停 其 他 终端 的 连接 。 当 端口 处 于 拥塞 状态 ,无 法 接收 到 数 
据 流 时 ,将 通知 其 他 接口 暂停 发 送 , 直 到 恢复 正常 状态 。 当 本 地 设备 发 现任 何 终端 发 生 拥塞 
时 ,将 发 送 一 个 暂停 帧 ,以 通知 其 连接 伙伴 或 远 端 拥塞 设备 。 当 收 到 暂停 帧 后 ,远程 设备 将 
停止 发 送 任何 数据 包 , 以 防止 在 拥塞 期 内 丢失 任何 数据 包 。 

保护 端口 可 以 确保 同一 交换 机 上 的 指定 端口 之 间 不 进行 通信 。 保 护 端 口 不 向 其 他 保护 
端口 转发 任何 传输 ,包括 单 播 . 多 播 和 广播 包 。 传 输 不 能 在 第 二 层 保 护 端口 间 进行 ,所 有 保护 
端口 间 的 传输 都 必须 通过 第 三 层 设备 转发 。 保 护 端口 与 非 保护 端口 间 的 传输 不 受 任何 影响 。 

默认 状态 下 ,未知 目 的 MAC 地 址 的 广播 包 被 允许 从 端口 向 外 传输 。 如 果 未 知 的 单 播 
和 多 播 通信 被 转发 到 保护 端口 ,将 导致 安全 问题 。 可 以 采用 阻塞 端口 的 方式 ,以 防止 未 知 的 
单 播 和 多 播 通信 在 端口 间 转发 。 


123 方案 设计 


方案 设计 如 表 12-1 所 示 。 
表 12-1 方案 设计 
任务 名 称 设置 企业 网 中 交换 机 安全 


1. IP 访 问 列表 的 设置 

(1) 创建 标准 访问 列表 

(2) 创建 扩展 访问 列表 

(3) 创建 标准 IP 访问 列表 名 称 
(4) 创建 扩展 IP 访问 列表 名 称 
2. 基于 端口 的 传输 控制 

(1) 风暴 控制 

(2) 流 控制 

(3) 保护 端口 

(4) 端口 阻塞 


任务 分 解 


湛 作 任务 十 二 设置 企业 网 中 交换 机 安全 “215 
= 


续 表 


. 能 在 交换 机 上 创建 标准 访问 控制 列表 

- 能 在 交换 机 上 创建 扩展 访问 控制 列表 

. 能 使 用 网 络 监听 工具 查看 攻击 效果 

.能 对 分 布 式 拒绝 服务 攻击 工具 DDoS 攻击 者 的 攻击 属性 进行 设置 

.能 使 用 分 布 式 拒绝 服务 攻击 工具 DDoS 对 目标 主机 发 动 拒绝 服务 攻击 


能 力 目标 


. 熟悉 访问 控制 列表 的 作用 


. 了 解 基 于 端口 访问 控制 的 原理 


. 树立 较 强 的 安全 意识 

.培养 吃苦 耐劳 实事求是 一丝不苟 的 工作 态度 
. 培养 分 析 能 力 和 应 变 能 力 

. 具有 可 持续 发 展 能 力 

. 了解 网 络 安全 行业 的 基本 情况 


入 
2 
3 
4 
5 
1 
知识 目标 2. 了 解 访问 控制 列表 的 分 类 
3 
机 
2 
素质 目标 | 3 
4 
5 


124 任务 实施 


12.4.1 任务 1: IP 访问 列表 的 设置 


1, 任务 目标 
借助 ACL 有 效 控制 用 户 对 网 络 和 Internet 的 访问 ,从 而 最 大 限度 地 保障 网 络 安全 。 


2, 工作 任务 

(1) 创建 标准 访问 列表 ; 

(2) 创建 扩展 访问 列表 ; 

(3) 创建 标准 IP 访问 列表 名 称 ; 
(4) 创建 扩展 IP 访问 列表 名 称 。 


3. 工作 环境 
(1) 一 台 预 装 Windows Server 2003/XP 的 主机 。 
(2) 一 台 交换 机 。 


4. 实施 过 程 

(1) 创建 标准 访问 列表 

OO 输入 “configure terminal” 进 入 全 局 配置 模式 。 

@ 使 用 源 地址 或 通配符 定义 标准 IP 访问 列表 ,格式 如 下 : 


access-list access-list-number {deny| permit}) source [source-wildcard] 


。 access-list-number 是 ACL 号 ,又 称 为 表 号 ,用 来 标识 或 引用 访问 控制 列表 。 表 号 用 
数字 表示 。ACL 号 相同 的 所 有 ACL 形成 一 个 组 。 在 判断 一 个 包 时 ,使 用 同一 组 中 
的 条 目 从 上 到 下 逐一 判断 ,一 旦 遇 到 满足 条 件 的 条 目 , 就 终止 对 该 包 的 判断 。 标 准 
访问 控制 列表 的 表 号 范围 是 1 一 99 或 1300 一 1999。 
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。 deny|permit: 当 条 件 匹 配 时 ,是 允许 包 通 过 ,还 是 将 包 丢 弃 。 

。 source: 源 地 址 ,发 送 包 的 网 络 或 主机 地 址 ,使 用 通配符 屏蔽 码 表示 一 组 主机 。 

。 source-wildcard: 通配符 屏蔽 码 ,实际 上 就 是 子 网 掩 码 的 反 码 。 

。 any: 表示 任何 主机 。 

访问 控制 列表 是 一 个 连续 的 列表 ,至 少 由 一 个 “permit( 人 允许 )” 语 句 和 一 个 或 多 个 “deny 
(拒绝 )” 语 句 构成 。 在 配置 过 滤 规 则 时 ,特别 要 注意 ACL 语句 的 顺序 。 因 为 数据 包 只 有 在 
前 一 个 判断 条 件 不 匹配 时 才 交 给 ACL 中 的 下 一 个 条 件 语句 进行 比较 。 

例如 , 若 要 拒绝 从 源 地 址 192. 168. 1. 100 发 出 的 报 文 , 但 允许 发 自 其 他 源 地 址 的 报 文 ， 
应 当 使 用 下 列 指令 : 


access-list 1 deny host 192.168.1.100 
access-list 1 permit any 


注意 两 条 语句 的 顺序 。 访 问 列表 语句 的 处 理 顺序 是 从 上 到 下 ,如果 把 两 句 颠 倒 , 则 不 能 
过 滤 来 自主 机 的 报 文 ,因为 permit 语句 将 允许 所 有 的 报 文通 过 。 

若 要 允许 从 192. 168. 1. 200 发 出 的 报 文 , 则 使 用 下 列 指 令 ， 

access-list 1 permit 192.168.1.200 0.0.0.0 
也 可 以 用 下 面 的 语句 代替 : 

access-list 1 permit host 192.168.1.200 

@ 使 用 “end” 返 回 特权 配置 模式 。 

(2) 创建 扩展 访问 列表 

标准 IP 访问 列表 只 能 控制 源 IP 地 址 ,不 能 控制 端口 。 若 要 控制 企业 用 户 的 网 络 应 用 ， 
需要 使 用 扩展 IP 访问 列表 。 扩 展 访问 控制 列表 可 以 检查 数据 包 的 源 IP 地 址 .目的 IP 地 
址 、 指 定 的 协议 、 端 口号 等 ,以 决定 对 数据 包 的 过 滤 。 

@ 输 入 “configure terminal” 进 入 全 局 配置 模式 。 

@ 定义 扩展 IP 访问 列表 , 表 号 取 值 范围 为 100 一 199 或 2000 一 2699 。 


access-list access-list-number { deny | permit} protocol source source-wildcard [operator port] 
destination destination-wildcard [operator port] 


或 者 
access-list access-list-number {deny| permit} protocol any [operator port] any [operator port] 
或 者 
access-list access-list-number {deny | permit) protocol host source [operator port] host destination 
[operator port] 
。 protocol: 要 过 滤 的 协议 ,例如 IP、TCP、UDP 和 ICMP 等 。 默认 过 滤 所 有 协议 。 若 
要 根据 特殊 协议 进行 报 文 过 滤 , 需 指定 协议 。 
。 destination destination-wildcard: 目的 地 址 和 通配符 屏蔽 码 。 
。 operator: 端口 操作 符 ,在 协议 类 型 为 TCP 或 UDP 时 支持 端口 比较 ,支持 的 比较 操 
作 有 等 于 (eq)、 大 于 (gt)、 小 于 (1t)、 不 等 于 (neq) 或 介 于 (range)。 若 操作 符 为 
range, 后 面 需要 跟 两 个 端口 。 
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例如 ,车 要 允许 来 自 所 有 地 址 的 包含 有 SMTP 数据 的 报 文 到 达 192. 168. 10. 10 主机 ， 
可 以 在 访问 列表 中 添加 下 列 指令 : 

access-list 101 permit tcp any host 192.168.10.10 eq smtp 

@ 使 用 “end” 命 令 返 回 特权 配置 模式 。 

(3) 创建 标准 IP 访问 列表 名 称 

命名 IP 访问 列表 有 两 个 优点 ,一 是 可 以 解决 ACL 号 码 不 足 的 问题 ; 二 是 可 以 自由 地 
删除 ACL 中 的 一 条 语句 ,而 不 必 删 除 整个 ACL。 缺 点 是 无 法 实现 在 任意 位 置 加 入 新 的 
ACL 条 目 。 

@ 输入 “configure terminal” 命 令 进入 全 局 配置 模式 。 

@ 利用 名 称 定义 标准 IP 访问 列表 ,进入 访问 列表 配置 模式 。 名 称 可 以 是 1 一 99 。 


ip access-list standard name 
@ 定义 一 个 或 多 个 permit 或 deny 条 件 , 以 确定 对 包 实 时 转发 或 是 丢弃 。 
deny {source [source-wildcard] |host source |any} 
或 者 
permit {source [source-wildcard] |host source |any} 


@ 使 用 *end” 返 回 特权 配置 模式 。 

例如 ,创建 一 条 IP Standard Access-list, 该 ACL 名 字 为 deny-host192. 168. 12. x。 有 
两 条 ACE, 第 一 条 ACE 拒绝 来 自 192. 168. 12.0 网 段 的 任 一 主机 ,第 二 条 ACE 允许 其 他 的 
任意 主机 。 


ip access-list standard deny-host 192.168.12.x 
deny 192.168.12.0 0.0.0.255 any 

permit any 

end 


show access-list 


(4) 创建 扩展 IP 访问 列表 名 称 
@ 使 用 “configure terminal” 进 入 全 局 配置 模式 。 
@ 利用 名 称 定义 扩展 IP 访问 列表 ,进入 访问 列表 配置 模式 。 名 称 可 以 是 100 一 199 。 


ip access-list extended name 
@ 定义 一 个 或 多 个 permit 或 deny 条 件 ,以 确定 对 包 实 施 转发 或 是 丢弃 。 


{deny | permit) protocol { source [source-wildcard] | host source | any} {destination [destination- 
wildcard] | host destination |any} 


@ 利用 “end” 命 令 返 回 特权 配置 模式 。 
例如 ,创建 一 条 Extended IP ACL, 该 ACL 有 一 条 ACE, 用 于 允许 指定 网 络 (192. 168. x. x) 
的 所 有 主机 以 HTTP 访问 服务 器 172. 168. 12. 3, 但 拒绝 其 他 所 有 主机 使 用 网 络 。 


ip access-list extended allow_oxc0a800_to_172.168.12.3 
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pt 


permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www 
show acess-list 


例如 ,借助 扩展 IP 访问 列表 ,可 以 在 VLAN 或 端口 上 阻止 蠕虫 端口 ,从 而 避免 蠕虫 在 
网 络 中 的 蔓延 ,以 保证 网 络 的 传输 效率 。 


access-list 110 deny tcp any any range 135 139 
access-list 110 deny tcp any any eq 445 
access-list 110 deny tcp any any eq 593 
access-list 110 deny tcp any any eq 1029 
access-list 110 deny tcp any any eq 4444 
access-list 110 deny tcp any any eq 5000 
access-list 110 deny tcp any any eq 5554 
access-list 110 deny tcp any any eq 7955 
access-list 110 deny udp any any range 135 139 
access-list 110 deny udp any any eq tftp 
access-list 110 deny udp any any range 995 999 
access-list 110 deny udp any any eq 1434 
access-list 110 deny tcp any any gt 8090 
access-list 110 deny udp any any eq 8090 
access-list 110 permit ip any any 


然后 ,将 该 访问 列表 应 用 至 端口 或 VLAN ,在 和 信和 出 双向 上 启用 该 列表 。 


ip access-group 110 in 
ip access-group 110 out 


例如 ,将 access-list deny_unknow_device 应 用 于 10/100Mb/s 接口 2 上: 


interface fastethernet 0/2 


ip access-list deny_unknow_device in 


12.4.2 任务 2: 基于 端口 的 传输 控制 


1. 任务 目标 

借助 对 端口 传输 控制 的 配置 ,杜绝 广播 风暴 对 整个 网 络 的 冲击 ,从 而 保证 网 络 的 正常 通 
信 ; 同时 启用 流 控 制 , 在 拥塞 期 间 和 暂停 终端 的 连接 ,直到 恢复 正常 状态 ,以 保证 网 络 的 正常 
通信 ; 还 可 以 拒绝 未 被 授权 的 计算 机 接 人 网 络 ,或 者 限制 某 个 接口 接 人 计算 机 的 数量 ,保证 
网 络 的 接 入 安全 ,避免 网 络 被 个 别 用 户 滥用 。 


2. 工作 任务 
(1) 风暴 控制 ; 
(2) 流 控 制 ; 
(3) 保护 端口 ; 
(4) 端口 阻塞 。 


3. 工作 环境 
(1) 一 台 预 装 Windows Server 2003/XP 的 主机 。 
(2) 一 合 交换 机 。 


4. 
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实施 过 程 


(1) 风暴 控制 
OO 输入 “configure terminal” 进 入 全 局 配置 模式 。 
@ 指定 欲 配 置 的 接口 ,进入 接口 配置 模式 。 


interface interface-id 


@ 配置 广播 .多 播 或 单 播 风暴 控制 。 默 认 状态 下 ,风暴 控制 被 禁用 。 通 常情 况 下 ,应 当 
启用 广播 风暴 控制 。 


storm-control {broadcast | multicast | unicast} level {level [level-low] | bps bps [bps-low] | pps pps 
[pps-low]} 


level 指定 阻塞 端口 的 带宽 上 限 值 , 取 值 范围 为 0 一 100。 如 果 将 值 设 为 100% ,将 不 
限制 任何 传输 ; 如 果 设 为 0% ,那么 该 端口 所 有 的 广播 .多 播 和 单 播 都 被 阻塞 。 建 议 
取 值 在 30% 左 右 。 

level-low 指定 启用 端口 的 带宽 下 限 值 。 端 口 带宽 应 当 小 于 或 等 于 下 限 值 。 当 广播 、 
多 播 和 单 播 传输 占用 带宽 的 比例 低 于 该 值 时 ,端口 恢复 转发 , 取 值 范围 为 0 一 100。 
建议 取 值 在 20% 左 右 。 

bps 指定 端口 阻塞 的 传输 速率 上 限 值 。 当 广播 .多 播 或 单 播 传输 达到 每 秒 若干 比特 
(bps) 时 ,端口 将 阻塞 传输 。 建 议 取 值 范围 不 高 于 端口 速率 的 1/3 一 1/2。 

bps-low 指定 端口 阻塞 的 传输 速率 下 限 值 。 传 输 速率 应 当 小 于 或 等 于 下 限 值 。 当 
广播 .多 播 或 单 播 传输 低 于 每 秒 若干 比特 (bps) 时 ,端口 将 恢复 传输 。 建 议 取 值 范 
围 不 高 于 端口 速率 的 1/3 一 1/2。 如 果 数 值 较 大 ,也 可 以 使 用 K、M 或 G 等 单位 
pps 指定 端口 阻塞 的 转发 速率 上 限 值 。 当 广播 .多 播 或 单 播 传输 速率 达到 每 秒 若 干 
包 (pps) 时 ,端口 将 阻塞 传输 。 建 议 取 值 范围 不 高 于 端口 转发 速率 的 1/3 一 1/2。 
pps-low 指定 端口 启用 的 传输 速率 下 限 值 。 传 输 速率 应 当 小 于 或 等 于 下 限 值 。 当 广 
播 ` 多 播 或 单 播 转发 速率 低 于 每 秒 若干 包 (pps) 时 ,端口 将 恢复 传输 。 建 议 取 值 范 围 
不 高 于 端口 转发 速率 的 1/3 一 1/2。 如 果 数 值 较 大 ,也 可 以 使 用 多、M 或 G 等 单位 
表示 。 


@ 指定 风暴 发 生 时 如 何 处 理 。 默 认 情 况 下 ,将 过 滤 外 出 的 传输 ,并 不 发 送 SNMP 陷 
阱 。 当 风暴 发 生 时 ,应 当选 择 shutdown 该 端口 ,避免 由 此 导致 网 络 瘫痪 。 


storm-control action {shutdown|trap} 


Q@ 输入 “end” 返 回 特权 模式 。 

(2) 流 控制 

OO 输入 “configure terminal" 进 入 全 局 配置 模式 。 
@ 指定 欲 配 置 的 接口 ,进入 接口 配置 模式 。 


interface interface-id 


ls 
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@ 设置 端口 的 流 控制 。 
flowcontrol {receive| send} {on|offldesired} 


@ 输入 “end” 返 回 特权 配置 模式 。 
@ 显示 接口 状态 。 


show interfaces interface-id 


(3) 保护 端口 
OO 输入 “configure terminal” 进 入 全 局 配置 模式 。 
@ 指定 欲 配置 的 接口 ,进入 接口 配置 模式 。 


interface interface-id 
@ 将 接口 配置 为 保护 端口 。 
flowcontrol {receive|send} {on|off|desired)} 


@ 输入 “end” 返 回 特权 配置 模式 。 
@ 显示 接口 状态 。 


show interfaces interface-id switchport 


(4) 端口 阻塞 
Oz 输入 “configure terminal” 进 入 全 局 配置 模式 。 
@ 指定 欲 配置 的 接口 ,进入 接口 配置 模式 。 


interface interface-id 
@ 禁止 未 知 多 播 从 该 端口 向 外 传输 。 
switchport block multicast 

@ 禁止 未 知 单 播 从 该 端口 向 外 传输 。 
switchport block unicast 


加 输入 “end" 返 回 特权 配置 模式 。 
@ 显示 接口 状态 。 


show interfaces interface-id switchport 
125 常见 问题 解答 


访问 列表 的 配置 步骤 是 什么 ? 
答 : 四 分 析 需 求 ,确定 需要 保护 或 控制 的 对 象 ,为 方便 配置 ,最 好 以 表格 形式 列 出 ; 


加 分 析 符 合 条 件 的 数据 流 的 路 径 , 寻 找 一 个 最 适合 进行 控制 的 位 置 ; 四 编写 ACL, 并 将 
ACL 应 用 到 接口 上 ; @ 测 试 并 修改 ACL。 


湛 作 任务 十 二 设置 企业 网 中 交换 机 安全 “221 
Ee 
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一 、 选 择 题 
1. 网 络 隔离 技术 的 目标 是 确保 把 有 害 的 攻击 隔离 ,在 保证 可 信 网 络 内 部 信息 不 外 泄 的 
前 提 下 ,完成 网 络 间 数 据 的 安全 交换 。 下 列 隔离 技术 中 ,安全 性 最 好 的 是 ( %» 
A. 多 重 安全 网 关 B. 防火 墙 C. VLAN 隔离 D. 物理 隔离 
2. 通过 交换 机 连接 的 一 组 工作 站 ( Ys 
A. 组 成 一 个 冲突 域 ,但 不 是 一 个 广播 域 
B. 组 成 一 个 广播 域 ,但 不 是 一 个 冲突 域 
C. 既是 一 个 冲突 域 ,又 是 一 个 广播 域 
D. 既 不 是 冲突 域 ,也 不 是 广播 域 
3， 访问 控制 列表 (ACL) 分 为 标准 和 扩展 两 种 。 下 面 关于 ACL 的 描述 中 ,错误 的 是 (。”)。 
A. 标准 ACL 可 以 根据 分 组 中 的 IP 源 地 址 进行 过 滤 
B. 扩展 ACL 可 以 根据 分 组 中 的 IP 目标 地 址 进行 过 滤 
C. 标准 ACL 可 以 根据 分 组 中 的 IP 目标 地 址 进行 过 滤 
D. 扩展 ACL 可 以 根据 不 同 的 上 层 协 议 信息 进行 过 滤 
二 、 填 空 题 
访问 列表 的 三 种 类 型 是 和 
三 、 简 答题 
创建 扩展 访问 列表 的 步骤 是 什么 ? 
四 、 实 操 题 
写 出 将 接口 配置 为 保护 端口 的 命令 。 
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131 用 户 需 求 与 分 析 


用 户 希 望 能 利用 企业 现 有 路 由 器 配置 访问 控制 列表 ACL 和 网 络 地 址 转换 NAT 等 功 
能 ,在 尽 可 能 最 小 的 经 济 投 入 下 实现 对 企业 网 络 的 基本 防护 。 对 学 习 情 境 中 企业 常见 网 络 
设备 路 由 器 进行 基本 防火 墙 功 能 的 配置 ,这 是 多 数 企业 所 采取 的 基本 保护 方式 。 


132 预备 知识 


1. 在 路 由 器 上 实现 访问 控制 列表 

当 需 要 在 路 由 器 上 对 进出 企业 内 部 网 络 的 协议 数据 进行 过 滤 和 控制 时 ,可 以 采用 路 由 
器 中 的 访问 控制 列表 技术 来 配置 过 滤 规 则 。 访 问 控制 列表 (Access Control List, ACL) 在 思 
科 路 由 器 上 常用 的 有 两 类 : 标准 访问 控制 列表 和 扩展 访问 控制 列表 。 

标准 访问 控制 列表 的 格式 为 


access-list listnumber {permit| deny) address [wildcard-mask] 


此 格式 表示 允许 或 拒绝 来 自 指定 网 络 的 数据 包 , 该 网 络 由 IP 地 址 (address) 和 地 址 通 
配 比较 位 (wildcard-mask) 指 定 。 在 思科 路 由 器 中 ,访问 控制 列表 仅 对 源 地 址 进行 检查 。 标 
准 访问 列表 的 例子 如 下 : 

access-list 10 deny 192.168.31.0 0.0.0.255 

表示 该 规则 序号 为 10 ,禁止 来 自 源 地 址 192. 168. 31. 0 的 访问 。 


access-list 10 permit host 192.168.31.3 


表示 该 规则 序号 为 10 ,允许 来 自 192. 168. 31. 3 的 主机 的 访问 。 
扩展 访问 控制 列表 格式 为 


access-list listnumber {permit| deny} protocol source source -wildcard-mask destination destination- 
wildcard-mask [operator operand] [log] 


此 格式 表示 允许 或 拒绝 指定 协议 , 源 自 指定 网 络 、 指 定 端 口号 、 指 定 目 的 地 址 、 指 定 目 的 
端口 的 数据 包 , 对 是 否 做 日 志 等 进行 说 明 。 扩 展 访问 控制 列表 的 例子 如 下 : 


access-list 101 deny tcp 192.168.30.0 0.0.0.255 192.168.31.111 0.0.0.255 eq www log 
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表示 该 规则 序号 为 101, 禁 止 192. 168. 30. 0 网 段 内 的 主机 建立 与 192. 168. 31. 111 主 
机 的 WWW 端口 (80) 的 连接 ,并 对 违反 此 规则 的 事件 做 日 志 。 


2. 在 路 由 器 上 实现 NAT 功能 

网 络 地 址 转换 NAT(Network Address Translation ) 的 最 初 应 用 主要 是 把 私有 地 址 转 
换 为 公有 地 址 ,以 节省 互联 网 上 的 IPv4 地 址 空间 。 通 过 NAT 转换 后 ,内 部 的 私有 IP 主机 
系统 的 地 址 被 转换 为 公有 IP, 来 使 用 互联 网 上 的 全 局 路 由 网 络 。 在 地 址 转换 的 同时 , NAT 
可 以 保护 内 部 网 络 。 由 于 内 部 使 用 私有 IP 地 址 ,对 互联 网 来 说 是 非 路 由 网 络 地 址 范围 ， 
使 得 公 网 无 法 发 起 对 内 部 私有 IP 地 址 主机 的 连接 ,但 内 部 私有 IP 地址 主机 可 以 发 起 与 
公 网 的 连接 ,NAT 技术 对 内 部 网 络 起 到 了 隐藏 保护 作用 ,从 而 降低 了 内 部 网 络 受到 攻击 
的 风险 。 

根据 实际 使 用 的 环境 与 需求 ,NAT 主要 有 以 下 三 种 类 型 的 应 用 。 

(1) 一 对 一 的 静态 NAT 转换 

内 部 私有 地 址 与 给 定 的 公有 地 址 进行 一 对 一 的 映射 转换 ,并 且 为 双向 的 转换 。 这 种 类 
型 的 NAT 可 应 用 于 防火 墙 DMZ 接口 或 路 由 器 内 部 的 服务 器 区 中 对 外 提供 服务 的 服务 器 ， 
如 Web DNS、FTP 等 。 例 如 ,Web 服务 器 内 部 私有 IP 地 址 为 192. 168. 2. 100, 一 对 一 的 静 
态 NAT 转换 为 200. 1. 1. 3。 

(2) 多 对 多 的 动态 NAT 地 址 池 转 换 

在 企业 网 络 接 入 互联 网 时 ,一 般 都 可 以 从 ISP 获取 一 个 连续 的 公 网 IP 地 址 段 ,如 
200. 1. 1. 0/29 ,其 中 可 用 的 主机 公 网 IP 地 址 为 200. 1. 1. 1 一 200. 1. 1. 6。 其 中 ,一 个 为 ISP 
的 网 关 地 址 (如 200. 1.1. 1) ,一 个 配置 给 企业 路 由 器 或 防火 墙 的 外 网 接口 的 公 网 IP 地 址 
(如 200. 1. 1. 2) ,其 余 公 网 IP 可 用 于 地 址 池 200. 1. 1. 3 一 200. 1. 1.6, 用 于 对 内 部 的 多 台 
机 进行 多 对 多 的 转换 。 例 如 ,192.168.1. 2 一 192. 168.1. 10 对 应 转换 为 地 址 池 200. 1.1.3 一 
200.1.1.6 中 的 公 网 地 址 。 由 于 企业 网 内 部 的 主机 数量 往往 多 于 地 址 池 , 不 能 保证 所 有 内 
部 主机 同时 访问 公 网 ,所 以 动态 NAT 地 址 池 转 换 多 与 后 面 的 PAT 结合 ,实现 对 地 址 池 的 
充分 利用 。 

(3) 基于 端口 多 路 复 用 的 NAT 转换 

这 种 方式 下 ,多 个 私有 地 址 对 应 一 个 公 网 IP 地 址 。 多 个 内 部 私有 地 址 变换 为 统一 的 外 
部 公有 地 址 ,为 了 同时 通信 ,对 公有 地 址 动态 配置 不 同 的 端口 号 ,与 多 个 内 部 私有 地 址 进行 
映射 。 这 在 公有 IP 数 少 时 使 用 ,也 是 在 路 由 器 上 应 用 最 多 的 NAT 类 型 , 称 为 PAT。 例 如 ， 
192. 168. 1.1 一 192. 168. 1. 254 对 应 200. 1. 1.1:1024 一 65535 的 PAT 转换 。 

路 由 器 上 NAT 转换 配置 的 步骤 如 下 : 

(全 局 模式 )access-list 访问 号 1 {permit|deny) 反 扼 码 号 [established] 。 

@ access-list 访问 号 {permit|deny) IP/TCP 协议 源 网 络 目的 网 络 。 

@ ip nat pool ceyl 218. 62. 88. 87 218. 62. 88. 89 netmask 255. 255. 255. 192 。 

@ 在 内 部 网 接口 上 ip nat inside。 

ea 在 外 部 网 接口 上 ip nat outside。 

© access-list 1 permit 192. 168. 1. 0 0. 0. 0. 255 。 


©® ip nat inside source list 1 pool ceyl overload 。 
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133 方案 设计 


方案 设计 如 表 13-1 所 示 。 


任务 名 称 


表 13-1 方案 设计 


设置 企业 网 中 路 由 器 安全 


任务 分 解 


了 到 


路 由 器 配置 访问 控制 列表 ,实现 简单 包 过 滤 


(1) 画图 并 连 线 
(2) 配置 各 主机 和 设备 的 IP 地 址 
(3) 路 由 器 访问 控制 列表 ACL 配置 


2. 


企业 网 络 中 路 由 设备 NAT 策略 部 署 


(1) 利用 Packet Tracer 画图 并 连 线 
(2) 配置 各 主机 和 设备 的 IP 地 址 
(3) 路 由 器 包 过 滤 及 NAT 配置 
(4) 进行 访问 控制 效果 检测 


能 力 目 标 


1. 能 对 路 由 器 进行 访问 控制 列表 ACL 配置 


. 能 对 路 由 器 进行 包 过 滤 及 NAT 配置 


知识 目标 


.熟悉 访问 控制 列表 的 种 类 及 使 用 格式 
. 了 解 NAT 的 原理 及 作用 

. 掌握 NAT 的 分 类 

. 熟悉 路 由 器 上 配置 NAT 的 步骤 


素质 目标 


本 | 


. 树立 较 强 的 安全 意识 

. 掌握 网 络 安全 行业 的 基本 情况 

.培养 吃苦 耐劳 .实事求是 一丝不苟 的 工作 态度 
. 培养 分 析 能 力 和 应 变 能 力 

. 培养 创新 能 力 


134 任务 实施 


任务 1: 路 由 器 配置 访问 控制 列表 ,实现 简单 包 过 滤 


1. 任务 目标 

在 路 由 器 中 配置 访问 控制 列表 ,实现 简单 的 包 过 滤 技 术 , 可 以 利用 Packet Tracer 软件 
完成 。 模 拟 企 业 与 外 部 网 络 的 连接 拓扑 图 如 图 13-1 所 示 , 计 算 机 A 和 计算 机 B 所 在 网 络 
代表 企业 网 络 , 计 算 机 A 和 计算 机 B 所 在 网 络 以 外 的 网 络 及 主机 代表 外 部 网 络 。 要 求 计算 
机 BB 可 以 访问 外 部 网 络 , 只 有 A 不 能 访问 外 部 网 络 ,外 部 网 络 中 只 有 B 可 以 Telnet 远程 登 


录 到 C 和 D 主机 及 其 网 络 。 
IP 地 址 信息 如 表 13-2 所 示 。 
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Router-PT| 


Routerl Router2 


2950-24 
Switchl 


950-24 
Switch2 


六 
PC-PT PC-PT “PC-PT PC-PT 
A B c D 


图 13-1 网 络 拓扑 图 (1) 


表 13-2 IP 地 址 信息 表 (1) 


R1-S2/0-IP 10.4. 工 1 R2-S2/0-IP 1051.1.2 
R1-f0/0-IP 172. 16. 1. 254 R2-f0/0-IP 192. 168. 1. 254 
A-IP 172.16:1.1 C-IP 192. 168. 1.1 
B-IP 72. 16u12 D-IP 192. 168.1.2 
A 和 B 网 关 172. 16. 1. 254 C 和 DD 网 关 192. 168. 1. 254 

2. 工作 任务 


(1) 画图 并 连 线 ; 
(2) 配置 各 主机 和 设备 的 IP 地 址 ; 
(3) 路 由 器 访问 控制 列表 ACL 配置 。 


3. 工作 环境 
软件 工具 : Packet Tracer。 


4. 实施 过 程 

(1) 画图 并 连 线 

在 思科 模拟 工具 软件 Packet Tracer 中 按照 网 络 拓 扑 图 画图 并 连 线 。 选 择 路 由 器 时 , 注 
意 要 有 Serial 口 。 

(2) 配置 各 主机 和 设备 的 IP 地 址 

对 照 IP 信息 表 , 对 各 主机 完成 IP 地 址 、 子 网 掩 码 和 网 关 地 址 的 配置 ,并 对 路 由 器 完成 
端口 IP 的 配置 。 可 以 用 命令 行 方式 完成 ,也 可 以 在 图 形 界面 中 设置 。 

(3) 路 由 器 访问 控制 列表 ACL 配置 

R1 配置 命令 如 下 : 


Router> enable 

Router # configure terminal 

Router(config) # interface FastEthernet0/0 
Router(config-if) # ip address 172.16.1.254 255.255.0.0 
Router(config-if) # no shutdown 

Router(config-if) # exit 

Router(config) # interface Serial2/0 

Router(config-if)#ip address 10.1.1.1 255.0.0.0 
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Router(config-if) # clock rate 64000 

Router(config-if) # no shutdown 

Router(config-if) # exit 

Router(config) # router ospf 1 

Router(config-router) # network 172.16.1.0 0.0.0.255 area 0 
Router(config-router) # network 10.1.1.0 0.0.0.255 area 0 
Router(config-router) # exit 

Router(config) # access-list 88 deny host 172.16.1.1 
Router(config) # access-list 88 permit any 

Router(config) # interface FastEthernet0/0 
Router(config-if) # ip access-group 88 in 

Router(config-if) # exit 

Router(config) # exit 

Router# write 


R2 配置 命令 如 下 : 


Router> enable 

Router# configure terminal 

Router(config) # interface FastEthernet0/0 

Router(config-if) # ip address 192.168.1.254 255.255.255.0 
Router( config-if) # no shutdown 

Router( config-if) # exit 

Router(config) # interface Serial2/0 

Router(config-if) # ip address 10.1.1.2 255.0.0.0 

Router( config-if) # exit 

Router(config) # router ospf 1 

Router(config-router) # network 192.168.1.0 0.0.0.255 area 0 
Router(config-router) # network 10.1.1.0 0.0.0.255 area 0 
Router(config-router) # exit 

Router(config) # access-list 101 permit tcp host 172.16.1.2 192.168.1.0 0.0.0.255 eq telnet 
Router(config) # interface FastEthernet0/0 

Router(config-if) # ip access-group 101 out 

Router(config-if) # exit 

Router(config) # exit 


Router# write 


13.4.2 任务 2: 企业 网 络 中 路 由 设备 NAT 策略 部 署 


1. 任务 目标 

利用 PacketTracer 软件 模拟 企业 与 外 部 网 络 的 连接 ,拓扑 图 如 图 13-2 所 示 。 计 算 机 
人 A、 计 算 机 B 和 计算 机 C 所 在 网 络 代 表 企业 网 络 ,计算 机 D 所 在 的 网 络 代表 外 部 网 络 。 在 
路 由 器 中 配置 NAT 和 ACL, 使 得 A、B、C 主机 通过 NAT 后 可 以 访问 外 网 主机 D, 并 可 利 
用 内 网 地 址 192. 168. 2. 100 访问 Web 服务 器 ; 外 网 主机 也 可 以 访问 Web 服务 器 ,但 需要 通 
过 公 网 地 址 200. 1. 1. 3 去 访问 。 配 置 ACL 功能 , 仅 不 允许 主机 B 和 主机 D 进行 ICMP 
通信 。 

IP 地 址 信息 如 表 13-3 所 示 。 
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2950-24 
Switch0 


Router-PT 
Router0 


PC-PT PC-PT 


四 a 
PC-PT PC-PT 
A C Web 


图 13-2 网 络 拓扑 图 (2) 


表 13-3 IP 地 址 信息 表 (2) 


设置 企业 网 中 路 由 器 安全 


RoO-{f0/0-IP 192. 168.1.1 RO-f1/0-IP 200.1.1.1 
A-IP 192. 168.1.2 Ro-f6/0-IP 192. 168. 2.1 
B-IP 192.168.1.3 Web 服务 器 -内 网 IP 192. 168.1.4 
C-IP 192. 168. 1.4 Web 服务 器 -外 网 IP 200.1.1.3 
D-IP 200.1.1.2 Web 服务 器 的 网 关 192. 168.1.1 
A、B.、C 的 网 关 192. 168.1.1 

2, 工作 任务 


(1) 利用 Packet Tracer 画图 并 连 线 ; 
(2) 配置 各 主机 和 设备 的 IP 地 址 ; 
(3) 路 由 器 包 过 滤 及 NAT 配置 ; 
(4) 进行 访问 控制 效果 检测 。 


3, 工作 环境 
软件 工具 : Packet Tracer。 


4. 实施 过 程 
(1) 利用 Packet Tracer 画图 并 连 线 


在 思科 模拟 工具 软件 Packet Tracer 中 按照 网 络 拓扑 图 画图 并 连 线 。 


(2) 配置 各 主机 和 设备 的 IP 地 址 


对 照 IP 信息 表 , 对 各 主机 完成 卫 地 址 . 子 网 掩 码 和 网 关 地 址 的 配置 ,并 对 路 由 器 完 


端口 IP 的 配置 。 可 以 用 命令 行 方式 完成 ,也 可 以 在 图 形 界面 中 设置 。 


(3) 路 由 器 包 过 滤 及 NAT 配 置 
R0 配置 命令 如 下 : 


Router> enable 

Router# configure terminal 

Router(config) # interface FastEthernet0/0 
Router(config-if) # ip address 192.168.1.1 255.255.255.0 
Router(config-if) # ip access-group 110 in 


// 符 合 110 列表 规则 的 数据 包 进入 fo/0 时 进行 相应 的 访问 控制 


Router(config-if) # ip nat inside 
Router(config-if) # exit 
Router(config) # interface FastEthernet6/0 


// 接 口 fo/0 为 NAT 地 址 转换 的 内 部 
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Router(config-if) # ip address 192.168.2.1 255.255.255.0 
Router(Cconfig-if) # ip nat inside // 接 口 f6/0 为 NAT 地 址 转换 的 内 部 
Router(config-if) # exit 
Router(config) # interface FastEthernetl/0 
Router(config-if) # ip address 200.1.1.1 255.255.255.0 
Router(config-if) # ip nat outside // 接 口 f1/0 为 NAT 地 址 转换 的 外 部 
Router(Cconfig-if) # ip nat inside source list 10 interface FastEthernetl/0 overload 
// 对 于 列表 10 中 定义 的 源 地 址 进行 动态 超载 NAT(PAT) 转 换 , 并 都 转换 成 1/0 接口 的 公 网 地 址 
Router(config-if) # no shutdown 
Router(Cconfig-if) # exit 
Router(config) # ip nat inside source static 192.168.2.100 200.1.1.3 
// 定 义 Web 服务 器 的 静态 转换 地 址 
Router(config) # access-list 10 permit 192.168.1.0 0.0.0.255 
// 定 义 NAT 的 源 地 址 
Router(config) # access-list 10 permit 192.168.2.0 0.0.0.255 
// 定 义 NAT 的 源 地 址 
Router(config) # access-list 110 deny icmp host 192.168.1.3 host 200.1.1.2 
// 禁 止 主机 也 与 主机 D 进行 ICMP 通信 
Router(config) # access-list 110 permit ip any any 


// 人 允许 主机 B 以 外 的 主机 进行 IP 通信 

(4) 进行 访问 控制 效果 检测 

@D 对 NAT 转换 的 检查 与 测试 。 在 主机 A 上 ping 主机 D, 正 常 为 连通 状态 ; 但 在 主机 
D 上 ping 主机 A 是 不 通 的 ,因为 NAT 屏蔽 了 内 部 主机 。 此 时 ,证 明 NAT 动态 转换 设置 是 
正确 的 。 

@ 对 Web 服务 器 访问 的 检查 与 测试 。 分 别 在 主机 A 和 主机 D 上 访问 Web 服务 ,A 访 
问 Web 服务 器 的 内 网 IP 地 址 是 192. 168. 1.4, 主 机 D 访问 Web 服务 器 外 网 NAT 静态 转 
换 后 的 IP 地 址 为 200.1.1.3。 如 果 能 分 别 ping 通 ,说 明 对 Web 服务 器 的 一 对 一 静态 NAT 
转换 配置 正确 。 

@ 对 包 过 滤 ACL 功能 的 检查 与 测试 。 分 别 在 主机 A 和 主机 B 上 ping 主机 DD, 检查 连 
通 性 。 配 置 正确 后 ,B 应 该 无 法 与 D 进行 基于 ICMP 协议 的 通信 ,而 主机 A 和 路 由 器 接口 
的 IP 都 可 以 跟 DD 进行 基于 ICMP 协议 的 通信 。 
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1. 访问 控制 列表 的 配置 原则 是 什么 ? 

答 : 访问 控制 列表 (Access Control List, ACL) 是 路 由 器 接口 的 指令 列表 ,用 来 控制 从 
端口 进出 的 数据 包 。ACL 的 默认 执行 顺序 是 自 上 而 下 。 在 配置 ACL 列表 时 ,要 遵循 最 小 
特权 原则 最 靠近 受 控 对 象 原 则 以 及 默认 丢弃 原则 。 其 中 ,最 小 特权 原则 是 指 只 给 受 控 对 象 
完成 任务 所 必需 的 最 小 的 权限 , 即 被 控制 的 总 规则 是 各 个 规则 的 交集 ,只 满足 部 分 条 件 的 是 
不 允许 通过 规则 的 。 最 靠近 受 控 对 象 原则 是 对 所 有 的 网 络 层 访问 权限 进行 控制 ,也 就 是 说 ， 
在 检查 规则 时 , 自 上 而 下 在 ACL 中 一 条 条 检测 ,只 要 发 现 符 合 条 件 就 立刻 转发 ,而 不 继续 
检测 下 面 的 ACL 语句 。 默 认 丢弃 原则 是 指 在 路 由 交换 设备 中 ,默认 最 后 一 条 ACL 语句 是 
deny any any, 即 丢弃 所 有 不 符合 条 件 的 数据 包 。 
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2. 如 果 Packet Tracer 软件 中 的 路 由 器 以 太 网 接口 不 够 ,该 如 何 操作 ? 

答 : 如 果 路 由 器 以 太 网 接口 不 够 ,可 以 先 移 除 2 个 串口 后 再 添加 2 个 以 太 网 接口 , 具 
体 的 操作 是 : 单 击 图 13-3 中 电源 开关 ,关闭 路 由 器 电源 ; 然后 选择 图 中 左 侧 模块 中 的 
“PT-ROUTER-NM-1CFE”; 再 拖 动 图 中 右 下 角 的 图 标 到 路 由 器 图 中 的 空 插 模 处 ; 添加 完 
成 后 , 单 击 电源 开关 开启 路 由 器 电源 ; 最 后 ,选择 “命令 行 ” 选 项 卡 , 进 行路 由 器 的 命令 行 
配置 。 

Elxi 


物理 | 配置 | 命 信行 | 


PT-ROUTER-NM-1AM 
PTR 
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PT-ROUTER-NM-1CFE 特 性 :该 异 块 提供 一 个 支持 铜 介质 的 快速 以 太 网 接口 。 适 合 于 组 建 远 距 
离 局 域 风 应用， 快速 以 太 网 模块 支持 多 种 特性 和 标准 。 单 端口 的 网 络 模块 支持 10/100BaseTX 
自 适应 ， 或 者 1008aseFX 光 纤 以 太 网 。TX( 铜 介质 ) 的 版 本 支持 虚拟 局 域 网 扩展 。 
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136 过 关 练 习 


一 、 选 择 题 
1. 路 由 器 命令 “Router(config) # access-list 1 permit 192. 168. 1. 1 的 含义 是 ( 
A. 不 允许 源 地 址 为 192. 168. 1. 1 的 分 组 通过 ,如 果 分 组 不 匹配 , 则 结束 
B. 允许 源 地 址 为 192. 168. 1. 1 的 分 组 通过 ,如 果 分 组 不 匹配 , 则 检查 下 一 条 语句 
C. 不 允许 目标 地 址 为 192. 168. 1. 1 的 分 组 通过 ,如 果 分 组 不 匹配 , 则 结束 
D. 允许 目标 地 址 为 192. 168. 1. 1 的 分 组 通过 ,如 果 分 组 不 匹配 , 则 检查 下 一 条 语句 
2. 将 ACL 应 用 到 路 由 器 接口 的 命令 是 ( ”)。 
A. Router(config-if) # ip access-group 10 out 
B. Router(config-if)# apply accss-list 10 out 
C. Router(Cconfig-if) 井 fixup access-list 10 out 
D. Router(config-if)# route access-group 10 out 
3. 以 下 ACL 语句 中 ,含义 为 “允许 172. 168. 0. 0/24 网 段 所 有 PC 访问 10. 1. 0. 10 中 的 
FTP 服务 ”的 是 ( js 
A. access-list 101 deny tcp 172. 168. 0. 0 0. 0. 0. 255 host 10. 1. 0. 10 eq ftp 
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B. access-list 101 permit tcp 172. 168. 0. 0 0. 0. 0. 255 host 10. 1. 0. 10 eq ftp 
C. access-list 101 deny tcp host 10. 1. 0. 10 172. 168. 0. 0 0. 0. 0. 255 eq ftp 
D. access-list 101 permit tcp host 10. 1. 0. 10 172. 168. 0. 0 0. 0. 0. 255 eq ftp 


二 、 简 答题 
网 络 地 址 转换 NAT 的 实现 方式 有 哪 三 种 ? 


工作 任务 十 四 
防火 墙 的 配置 与 应 用 


141 用 户 需求 与 分 析 


在 互联 网 中 ,防火 墙 是 一 种 非常 有 效 的 网 络 安全 模型 ,通过 它 可 以 隔离 风险 区 域 与 安全 
区 域 之 间 的 连接 ,同时 不 妨碍 人 们 对 风险 区 域 的 访问 。 防 火 墙 是 不 同 网 络 间 信 息 的 唯一 出 
口 ,根据 企业 网 的 安装 策略 控制 .允许 .拒绝 ,监测 出 入 网 络 间 的 信息 流 , 提 供 安全 防范 保护 
功能 。 通 过 对 防火 墙 的 配置 与 应 用 可 以 达到 以 下 目的 : 一 是 限制 他 人 进入 内 部 网 络 , 过 滤 
不 安全 服务 和 非法 用 户 ; 二 是 防止 人 侵 者 接近 防御 设施 ; 三 是 限制 用 户 访问 特殊 站 点 ; 四 
是 为 监视 互联 网 安全 提供 方便 。 
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14.2.1 防火 墙 的 功能 


传统 意义 的 防火 墙 用 于 控制 实际 的 火灾 ,使 火灾 被 限制 在 建筑 物 的 某 部 分 ,不 会 草 延 到 
其 他 区 域 。 网 络 安全 中 的 防火 墙 是 在 两 个 网 络 之 间或 主机 与 网 络 之 间 执 行 访问 控制 策略 的 
一 个 或 一 组 系统 ,包括 硬件 和 软件 ,目的 是 保护 网 络 免 受 恶 意 行 为 的 侵害 ,并 阻止 其 非法 行 
为 。 它 是 将 内 部 网 和 公共 网 分 隔 的 特殊 网 络 互联 设备 或 系统 。 防 火 墙 的 内 部 区 域 是 指 内 部 
网 络 或 者 内 部 网 络 的 一 部 分 ,是 可 信任 的 区 域 , 应 受到 防火 墙 的 保护 。 外 部 区 域 是 指 
Internet 或 者 外 部 的 网 络 ,是 不 被 信任 的 区 域 。 它 能 够 完成 网 络 用 户 访 问 控制 .认证 服务 、 
数据 过 滤 ,限制 内 部 用 户 访问 某 些 站 点 等 功能 。 它 遵循 允许 或 拒绝 业务 往来 的 网 络 通信 安 
全 机 制 ,提供 可 控 的 过 滤 网 络 通信 ,只 人 允许 授权 的 通信 。 防 火 墙 作为 一 个 安全 网 络 的 边界 
点 ,在 不 同 的 网 络 区域 之 间 进 行 流量 的 访问 控制 。 

网 络 防火 墙 的 工作 任务 是 设置 一 个 检查 站 ,监视 ,过滤 和 检查 所 有 流 经 的 协议 数据 ,并 
对 其 执行 相应 的 安全 策略 ,如 阻止 协议 数据 通过 或 禁止 非法 访问 ,能 有 效 地 过 滤 攻 击 流量 。 
另外 ,防火 墙 通过 对 网 络 的 访问 行为 进行 记录 ,即日 志 记 录 , 同 时 提供 审计 功能 ,完成 对 网 络 
使 用 情况 的 数据 、 统 计 与 监视 功能 。 防 火 墙 通过 NAT 等 技术 完成 对 内 部 网 络 信息 ,如 关键 
主机 的 IP 及 开启 的 服务 等 信息 的 隐藏 与 保护 ,使 内 部 网 络 不 暴露 于 外 网 。 提 供 企业 网 络 服 
务 的 防火 墙 能 控制 和 管理 网 络 访问 ,保护 网 络 和 系统 资源 ,对 数据 流量 进行 深度 检测 ,还 可 
以 验证 身份 ,记录 和 报告 事件 。 防 火 墙 通过 设置 DMZ 接口 ,发布 企 业 的 部 分 资源 与 信息 服 
务 , 如 对 外 提供 的 Web、FTP 或 E-mail 等 服务 。DMZ 称 为 非 军事 化 区 .对 于 防火 墙 的 DMZ 
口 所 连接 的 部 分 ,一 般 称 为 服务 器 群 或 服务 器 区 .防火 墙 也 可 以 进行 测量 的 检查 与 控制 ,只 
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允许 对 特定 服务 端口 的 访问 进入 。 如 开放 的 Web 服务 仅 当 对 内 部 服务 访问 的 目的 端口 为 
80 时 才 被 允许 。 


14.2.2 防火 墙 的 工作 原理 


防火 墙 是 网 络 上 的 一 种 过 滤器 ,让 安全 的 信息 流通 过 ,不 安全 的 信息 全 部 过 滤 掉 。 防 火 
墙 采用 的 技术 和 标准 五 花 八 门 .多 种 多 样 , 但 工作 方式 都 一 样 , 即 分 析出 、 入 防火 墙 的 数据 
包 , 决 定 放行 还 是 阻止 通过 。 所 有 的 防火 墙 都 具有 IP 地 址 数据 包 过 滤 功 能 ,只 需要 检查 IP 
数据 包头 部 特征 信息 ,如 根据 其 IP 源 地 址 和 目标 地 址 ,可 做 出 放行 还 是 丢弃 的 动作 。 包 过 
滤 是 在 IP 层 实现 的 ,根据 包 的 源 IP 地 址 、 目 的 IP 地 址 、 源 端口 .目的 端口 及 包 传递 方向 等 
报头 信息 来 判断 是 否 允 许 包 通 过 。 包 过 滤 防 火 墙 的 应 用 非常 广泛 ,因为 CPU 用 于 处 理 包 
过 滤 的 时 间 几 乎 可 以 忽略 不 计 , 并 且 这 种 防护 措施 对 用 户 透 明 , 合 法 用 户 在 进出 网 络 时 , 根 
本 感受 不 到 它 的 存在 ,使 用 起 来 很 方便 。 因 此 这 样 的 系统 具有 很 好 的 传输 性 能 ,并 容易 扩 
展 。 缺 点 是 这 种 防火 墙 不 太 安全 , 包 过 滤 防 火 墙 对 应 用 层 性 能 无 法 解析 ,如 果 攻 击 者 把 自己 
主机 的 IP 地 址 设置 成 一 个 合法 主机 的 IP 地 址 ,就 可 以 轻易 通过 包 过 滤器 防火 墙 。 代 理 服 
务 型 防火 墙 在 应 用 层 上 实现 防火 墙 功 能 .弥补 了 包 过 滤 防 火 墙 的 不 足 。 它 能 提供 部 分 与 传 
输 有 关 的 状态 ,提供 与 应 用 有 关 的 状态 ,解析 部 分 传输 的 信息 ,还 能 处 理 和 管理 信息 。 

在 技术 实现 上 ,防火 墙 经 历 了 第 一 代 的 包 过 滤 技 术 阶段 ,最 典型 的 是 设计 在 路 由 器 上 的 
访问 控制 列表 (ACL) 功 能 完成 包 过 滤 防 火 墙 的 功能 ; 1989 年 推出 的 电路 层 防火 墙 和 应 用 
层 防 火 墙 被 认为 是 第 二 代 和 第 三 代 防 火 墙 的 初步 结构 ; 1992 年 开发 出 的 基于 动态 包 过 滤 
技术 的 防火 墙 被 称 为 第 四 代 防 火 墙 ; 1998 年 NAI 公司 推出 的 自 适应 代理 技术 可 以 称 为 第 
五 代 防 火 墙 。 

较 早 的 防火 墙 是 在 路 由 器 上 实现 的 , 随 着 互联 网 应 用 的 普及 ,出 现 了 建立 在 通用 操作 系 
统 上 的 防火 墙 ,目前 已 经 发 展 为 具有 安全 的 专用 操作 系统 的 防火 墙 ,并 多 以 独立 的 硬件 设备 
形式 在 网 络 中 部 署 , 但 仍然 是 软件 和 硬件 的 结合 ,只 是 较 多 的 功能 通过 硬件 实现 ,如 在 对 数据 
进行 VPN 传输 的 保护 中 ,性 能 较 好 的 防火 墙 采用 专用 的 硬件 完成 加 密 处 理 , 如 DES 加 密 等 。 


14.2.3 防火墙 的 分 类 


市 场 上 各 种 防火 墙 产品 繁多 ,划分 的 标准 各 式 各 样 , 主 要 的 分 类 有 以 下 几 种 。 

(1) 按 操作 对 象 不 同 分 为 主机 防火 墙 和 网 络 防火 墙 。 主 机 防火 墙 的 优点 是 位 置 优势 、 
低 成 本 ; 缺点 是 难以 部 署 和 维护 ,缺乏 透明 度 , 功 能 局 限 性 ,比如 天 网 防火 墙 \ 诺 顿 防火 墙 。 
网 络 防火 墙 的 优点 是 功能 强大 、 性 能 高 、 透 明度 强 ; 缺点 是 成 本 高 ,内 部 攻击 保护 性 差 , 例 如 
锐 捷 防火 墙 、 蓝 盾 防 火 墙 、 天 融 信和 网 络 卫士。 

(2) 按 实 现 方式 不 同 分 为 软件 防火 墙 和 硬件 防火 墙 。 软件 防 火 墙 用 于 应 用 层 控制 和 检 
测 , 优 点 是 功能 丰富 ,缺点 是 性 能 低 、 有 自身 安全 性 问题 。 例 如 ,微软 的 ISA 防火 墙 、 
checkpoint 防火 墙 。 硬 件 防火 墙 的 优点 是 性 能 高 .自身 安全 性 高 .易于 维护 ,缺点 是 缺乏 高 
级 功能 。 例 如 , 锐 捷 防 火 墙 .思科 防火 墙 、 蓝 盾 防 火 墙 和 天 融 信 网 络 卫士 。 

(3) 按 技术 实现 层次 分 为 网 络 层 防 火 墙 和 应 用 层 防火 墙 。 网 络 层 防火 墙 通过 对 流 经 的 
协议 数据 包 的 头 部 信息 ,如 源 地 址 .目的 地 址 ,协议 号 ` 源 端口 和 目的 端口 等 信息 进行 规定 策略 
的 控制 。 应 用 层 防 火 墙 可 以 对 协议 数据 流 进 行 全 面 的 检查 与 分 析 ,确定 需 执 行 策略 的 控制 。 
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(4) 按 过 滤 和 检测 方式 分 为 包 过 滤 防 火 墙 ,状态 防火 墙 .应 用 网 关 防 火 墙 地 址 转换 防 
火 墙 透明 防火 墙 和 混合 防火 墙 。 无 状态 包 过 滤 防 火 墙 的 技术 优点 是 处 理 速度 快 ,缺点 是 无 
法 阻止 应 用 层 攻 击 ,部 署 复杂 ,维护 量 大 。 它 是 互联 网 边界 的 第 一 层 防 线 , 隐 式 拒绝 ,显示 人 允 
许 。 例 如 ,使 用 ACL 过 滤 的 路 由 器 。 有 状态 包 过 滤 防 火 墙 技术 与 无 状态 包 过 滤 防 火 墙 执 
行 相似 操作 ,优点 是 保持 对 连接 状态 的 跟踪 ,能 监视 更 高 级 的 信息 ,例如 特定 应 用 层 协议 检 
测 ; 缺点 是 不 能 阻止 应 用 层 攻 击 ,状态 表 导 致 系统 开销 增 大 。 它 作为 主要 的 防御 措施 ,需要 
更 加 严格 的 控制 。 支 持 应 用 层 检测 的 状态 防火 墙 采用 动态 协议 检测 ,能 检测 应 用 层 报头 中 
的 信息 。 应 用 网 关 防 火 墙 采用 应 用 网 关 防火 墙 技术 ,通常 称 为 代理 防火 墙 , 支 持 身份 验证 ， 
能 监控 和 过 滤 应 用 层 信息 。 支 持 的 应 用 有 限 , 可 能 需要 部 署 客 户 端 软件 ,作为 主要 的 防护 措 
施 需要 更 严格 的 身份 及 会 话 验证 。 连 接 网 关 防 火 墙 执行 传统 的 应 用 网 关 防 火 墙 检测 方式 。 
直通 代理 防火 墙 是 简化 的 应 用 网 关 防 火 墙 ,对 于 初始 连接 请 求 进行 身份 验证 ,具有 更 好 的 性 
能 。 地 址 转换 防火 墙 解决 了 公有 IP 地 址 匮乏 的 问题 ,隐藏 了 内 部 网 络 结构 ,引入 了 延 时 , 破 
坏 了 IP 的 端 到 端 模型 。 透 明 防 火 墙 充当 网 桥 的 角色 ,易于 部 署 , 即 搬 即 用 , 零 配置 ,无 须 更 
改编 制 结 构 和 路 由 拓扑 ,隐蔽 性 高 ,无 IP, 无 连接 可 达到 。 

(5) 按 部 署 位 置 不 同 分 为 边界 防火 墙 个 人 防火 墙 和 混合 防火 墙 。 

(6) 按 性 能 不 同 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 。 


14.2.4 ”PIX 防火 墙 配 置 


PIX 防火 墙 提供 非特 权 模式 .特权 模式 .配置 模式 和 监视 模式 等 四 种 管理 访问 模式 。 在 
配置 模式 下 ,命令 nameif 用 于 配置 防火 墙 接口 的 名 字 ,并 指定 安全 级 别 。 默 认 情 况 下 ,端口 
Ethernet0 被 命名 为 外 部 接口 (Outside) ,安全 级 别 为 0; 端口 Ethernetl 被 命名 为 内 部 接口 
(Inside) ,安全 级 别 为 100。 用 户 可 配置 的 安全 级 别 取 值 范围 为 1 一 99 ,数字 越 大 ,安全 级 别 
越 高 。 在 配置 模式 下 ,命令 interface 可 用 于 配置 防火 墙 接口 的 数据 传输 速率 。 选 项 auto 表 
明 接 口 采 用 自动 协商 方式 ,100full 表示 采用 100Mb/s 全 双 工 通信 。 在 配置 模式 下 ,命令 ip 
address 可 用 于 配置 防火 墙 接口 的 IP 地 址 。 

在 配置 模式 下 ,命令 nat 用 于 指定 要 进行 转换 的 内 部 地 址 ,命令 global 用 于 指定 外 部 
IP 地 址 范围 ( 即 地 址 池 )。 命 令 nat 总 是 与 命令 global 一 起 使 用 ,因为 命令 nat 可 以 指定 一 
台 主 机 或 一 段 IP 地 址 范围 的 主机 访问 外 网 。 访 问 外 网 时 ,需要 利用 命令 global 所 指定 的 地 
址 池 进 行 对 外 访问 。 

命令 nat 的 语法 格式 是 


nat (if_name) nat_id local_ip [netmask] 


其 中 ,if_name 是 内 网 接口 名 字 , 例 如 inside; nat_id 是 全 局 地 址 池 标 识 , 使 它 与 其 相应 的 
global 命令 相 匹 配 ; local_ip 是 内 网 被 分 配 的 I 地址; netmask 是 内 网 IP 地 址 的 子 网 掩 码 。 
例如 ,启用 NAT, 设 定 内 网 的 所 有 主机 均 可 访问 外 网 的 配置 命令 是 


firewall(config) # nat (inside) 1 0.0.0.0 0.0.0.0 
也 可 以 写成 


firewall(config)# nat (inside) 100 
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命令 global 的 语法 格式 是 

global (if _name) nat_id ip_address-ip_address [netmask global _mask] 

其 中 ,if_name 是 外 网 接口 的 名 字 , 例 如 outside; nat_id 是 全 局 地 址 池 标 识 ; ip_ 
address-ip_address 是 NAT 转换 后 的 单个 IP 地 址 或 某 段 IP 地 址 范围 ; netmask global_ 
mask 是 全 局 IP 地 址 的 子 网 掩 码 。 

例如 , 当 内 网 的 所 有 主机 要 访问 外 网 时 ,防火 墙 将 送 往 Internet 的 IP 数据 包 的 源 地 址 
统一 映射 为 202. 10. 10. 1 的 配置 语句 是 

firewall(config) # global (outside) 1 202.10.10.1 

配置 外 网 地 址 池 为 202. 10. 20.1 一 202. 10. 20. 10。 当 内 网 主机 访问 外 网 时 ,将 地 址 统 
一 映射 到 该 IP 地 址 池 的 配置 语句 是 

firewall(config) # global (outside) 1 202.10.20.1-202.10.20.10 

在 配置 模式 下 ,命令 route 用 于 设置 指向 内 网 和 外 网 的 静态 路 由 ,其 语法 格式 是 

route(if_name)0 0 gateway_ip [metric] 


其 中 ,if_name 是 接口 名 字 , 例 如 inside outside; gateway_ip 是 网 关 路 由 器 的 IP 地 址 ; 
metric 是 到 gateway_ip 的 跳 数 ,其 默认 值 为 1。 
在 配置 模式 下 ,命令 static 将 内 部 地 址 翻译 成 一 个 指定 的 全 局 地 址 ,其 命令 格式 是 


static (internal_ip_name, external_if_name) outside_ip_address inside_ip_address 


例如 ,当地 址 为 192. 168.0. 1 的 内 网 主机 访问 外 网 时 ,地 址 静态 转换 为 202. 10. 10. 1 。 
使 用 static 命令 创建 外 部 IP 地 址 202. 10. 10. 1 和 内 部 IP 地 址 192. 168. 0. 1 之 间 静 态 映 射 
的 配置 命令 是 


firewall(config) # static (inside, outside) 192.168.0.1 202.10.10.1 


在 配置 模式 下 ,命令 conduit 用 于 允许 数据 流 从 具有 和 较 低 安全 级 别 的 接口 流向 具有 和 较 
高 安全 级 别 的 接口 ,其 命令 格式 是 


conduit permit| deny global_ip port [-port] protocol foreign_ip [netmask] 


例如 ,使 用 202. 10. 10.1 这 一 IP 地 址 对 外 网 提供 Web 服务 ,并 允许 所 有 的 外 网 用 户 访 
问 的 配置 命令 为 


conduit permit tcp host 202.10.10.1 eq www any 

允许 ICMP 消息 以 任意 方向 通过 防火 墙 的 配置 命令 为 

conduit permit icmp any any 

在 配置 模式 下 ,命令 fixup 用 于 启用 、 禁 止 改变 一 个 服务 或 协议 通过 防火 墙 , 其 命令 格式 是 
fixup protocol <protocol> [port] 

例如 ,启用 HTTP 服务 ,并 指定 该 HTTP 使 用 的 端口 号 为 8080 的 配置 命令 为 


firewall(config) # fixup protocol http 8080 
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禁用 端口 号 为 21 的 FTP 的 配置 命令 为 


firewall(config) # no fixup protocol ftp 21 


14.2.5 防火 墙 的 选用 


目前 ,在 国内 防火 墙 产 品 市 场 中 ,国内 产品 和 国外 产品 各 占 半壁 江山 。 国 外 品牌 的 优势 
主要 是 技术 和 知名 度 比 国内 产品 高 。 国 内 品牌 则 对 国内 用 户 需求 了 解 更 加 透彻 ,价格 上 也 
具有 优势 。 国 外 防火 墙 厂商 主要 有 思科 (Cisco PIX)、CheckPoint、NetScreen 等 ,特点 是 自 
身 开 发 能 力 强 , 产 品 线 比 较 齐 全 ,有 比较 完善 的 销售 渠道 和 技术 支持 体系 。 它 们 的 主要 客户 
是 电信 金融 等 高 端 用户 群 。 国 内 防火 墙 一 线 厂 商 主 要 有 东软 \ 天 融 信 、 启 明星 辰 、. 联 想 、 方 
正 、 安 氏 领 信 、 华 为 等 ,产品 应 用 领域 较 广 ,从 高 端 到 低 端 都 有 覆盖 ,网 络 应 用 从 百 兆 位 到 千 
兆 位 ,产品 针对 性 较 强 。 

防火 墙 的 主要 性 能 指标 如 下 : 

(1) 吞吐 量 。 在 不 丢 包 情况 下 能 够 达到 的 最 大 速率 。 

(2) 时 延 。 入 口 输入 帧 最 后 一 个 比特 到 达 出 口 处 ,输出 帧 第 一 个 比特 输出 所 用 的 时 间 
间隔 ,体现 了 防火 墙 处 理 数据 的 速度 。 

(3) 丢 包 率 。 在 连续 负载 情况 下 ,应 转发 却 未 转发 帧 的 百分比 。 丢 包 率 对 防火 墙 稳定 
性 和 可 靠 性 有 较 大 影响 。 

(4) 并 发 连接 数 。 穿 越 防火 墙 的 主机 之 间或 主机 与 防火 墙 之 间 能 同时 建立 的 最 大 连接 
数 ,反映 了 防火 墙 对 来 自 客户 端 TCP 连接 请 求 的 响应 能 力 。 

(5) 最 大 并 发 连接 数 建立 速率 。 单 位 时 间 内 建立 的 最 大 连接 数 ,体现 了 防火 墙 单位 时 
间 内 建立 和 维持 TCP 连接 的 能 力 。 

目前 ,市 场 有 6 种 基本 类 型 的 防火 墙 ,分 别 是 嵌入 式 防火 墙 ` 基 于 企业 软件 的 防火 墙 、 基 
于 企业 硬件 的 防火 墙 SOHO 软件 防火 墙 .SOHO 硬件 防火 墙 和 特殊 防火 墙 。 在 防火 墙 产 
品 选 购 中 ,用 户 通常 考虑 的 要 点 如 表 14-1 所 示 。 


表 14-1 防火 墙 产品 选 购 要 点 


自身 的 安全 性 | 主要 体现 在 自身 设计 和 管理 两 个 方面 
系统 的 稳定 性 | 通过 权威 评测 机 构 测试 实际 调查 .自己 试用 ,厂商 的 研制 历史 ,厂商 实力 等 方法 判断 


是 否 高 效 一 般 防 火 墙 加 载 上 百 条 规则 ,性 能 下 降 不 应 超过 5% 
是 否 可 千 提高 可 靠 性 的 措施 一 般 是 提高 本 身 部 件 的 强健 性 、 增 大 设计 阔 值 和 增加 宛 余部 件 ,这 要 
求 有 较 高 的 生产 标准 和 设计 宛 余 度 


功能 是 否 灵活 | 要 求 有 一 系列 不 同 级 别 , 满 足 不 同 用 户 的 各 类 安全 控制 需求 的 控制 策略 
配置 是 否 方便 | 支持 透明 通信 ,在 安装 时 不 需要 对 原 网 络 配置 做 任何 改动 
在 充分 考虑 安全 需要 的 前 提 下 ,必须 提供 安全 、 灵 活 的 管理 方式 和 方法 ,体现 为 管理 途 
和 天 类 胡可 径 、 管 理工 具 和 管理 权限 
是 否 可 以 抵御 


拒绝 服务 攻击 需 详细 考察 这 一 功能 的 真实 性 和 有 效 性 


是 否 可 以 针对 
用 户 身份 过 滤 
是 否 可 扩展 、 


可 升级 如 果 不 支持 软件 升级 ,用 户 需要 更 换 硬件 ,更 换 期 间 网 络 不 设防 ,同时 花费 较 大 


常用 一 次 性 口令 验证 机 制 , 来 确认 登录 用 户 身份 


ao 
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143 方案 设计 


方案 设计 如 表 14-2 所 示 。 


任务 名 称 


表 14-2 方案 设计 
防火 墙 的 配置 与 应 用 


任务 分 解 


1. 防火 墙 的 典型 安装 与 部 署 

(1) 防火 墙 的 连接 与 登录 配置 

(2) 防火 墙 透明 模式 (网 桥 模式 ) 的 典型 安装 与 部 署 
(3) 防火 墙 NAT 模式 (路 由 模式 ) 的 典型 安装 与 部 署 
2. 使 用 防火 墙 实现 策略 管理 

(1) 架设 实验 环境 

(2) 实验 分 析 

(3) 检查 各 点 网 络 状况 

(4) 设置 端口 映射 ,实现 访问 的 互通 

(5) 为 LAN 内 PC 设置 对 外 访问 策略 ,实现 访问 的 互通 
3. 使 用 防火 墙 进 行 流量 控制 

(1) 启动 带宽 管理 

(2) 配置 网 络 流量 策略 

(3) 添加 网 络 流量 应 用 规则 

(4) 配置 P2P 功能 

(5) 添加 固定 流量 规则 


能 力 目标 


. 掌握 防火 墙 的 基本 连 线 方法 

. 能 使 用 管理 端口 登录 到 防火 墙 上 进行 配置 

. 能 实现 防火 墙 透 明 模 式 的 典型 安装 和 配置 

. 能 实现 防火 墙 NAT 模式 的 典型 安装 和 配置 

. 能 设置 防火 墙 端口 映射 ,实现 外 网 访问 内 网 Web 服务 器 
. 能 设置 防火 墙 策略 ,实现 局 域 网 内 计算 机 访问 外 网 
. 能 启动 防火 墙 带宽 管理 

. 能 配置 防火 墙 网 络 流量 策略 

. 能 配置 防火 墙 P2P 功能 

10. 能 添加 防火 墙 网 络 流量 应 用 规则 

11. 能 添加 防火 墙 固定 流量 规则 


oo 中 


知识 目标 


. 掌握 防火 墙 的 功能 

. 了 解 防火 墙 的 工作 原理 

. 熟悉 防火 墙 的 分 类 

. 了 解 PIX 防火 墙 的 网 络 接口 地 址 初始 化 配置 
. 了 解 PIX 防火 墙 的 网 络 地 址 转换 (NAT) 配 置 


素质 目标 


. 掌握 网 络 安全 行业 的 基本 情况 

. 树立 较 强 的 安全 意识 

.培养 吃苦 耐劳 .实事求是 ,一丝不苟 的 工作 态度 
. 培养 分 析 能 力 和 应 变 能 力 

. 具有 可 持续 发 展 能 力 


| 
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144 任务 实施 


为 了 完成 本 工作 任务 ,又 细 分 为 以 下 4 个 子 任务 。 
14.4.1 任务 1: 防火 墙 的 典型 安装 与 部 署 


1. 任务 目标 

掌握 防火 墙 的 基本 连 线 方法 ,了 解 防 火 墙 的 基本 设置 ,管理 模式 和 操作 规范 。 掌 握 防 火 
墙 在 透明 模式 下 工作 时 ,对 内 、 外 网 口 的 配置 及 添加 桥接 的 规则 ,最 后 通过 从 内 网 ping 通路 
由 来 验证 桥接 正确 部 署 。 


2. 工作 任务 

(1) 防火 墙 的 连接 与 登录 配置 ; 

(2) 防火 墙 透明 模式 (网 桥 模 式 ) 的 典型 安装 与 部 署 ; 
(3) 防火 墙 NAT 模式 (路 由 模式 ) 的 典型 安装 与 部 署 。 


3. 工作 环境 
(1) 三 台 预 装 Windows Server 2003/XP 的 主机 。 
(2) 一 台 防 火 墙 设备 .一 台 二 层 交 换 机 、 一 台 三 层 交 换 机 、 一 台 路 由 器 。 


4. 实施 过 程 

(1) 防火 墙 的 连接 与 登录 配置 

Q@ 单线 接 第 1 组 蓝 盾 防火 墙 的 第 一 口 , 默 认 IP 为 192. 168. 11.1, 在 IE 输入 https:// 
192.168. 11. 1:81; 第 2 组 蓝 盾 防火 墙 第 一 口 ,默认 IP 为 192. 168. 12. 1, 在 IE 输入 
https://192.168. 12.1:81; 第 3 组 蓝 盾 防火 墙 第 一 口 ,默认 IP 为 192.168.13.1, 在 IE 输 
入 https://192.168.13.1:81; 第 4 组 蓝 盾 防火 墙 第 一 口 , 默 认 IP 为 192.168.14.1, 在 IE 
输入 https://192. 168.14.1:81; 第 5 组 蓝 盾 防 火 墙 第 一 口 ,默认 IP 为 192. 168. 15.1 ,在 IE 
输入 https://192. 168.15.1:81; 第 6 组 蓝 盾 防火 墙 第 一 口 ,默认 IP 为 192. 168. 16. 1 ,在 IE 
输入 https://192. 168.16.1:81; 第 7 组 蓝 盾 防火 墙 第 一 口 ,默认 IP 为 192. 168. 17.1 ,在 下 
输入 https://192. 168.17.1:81; 第 8 组 蓝 盾 防火 墙 第 一 口 ,默认 IP 为 192. 168. 18. 1 ,在 下 
输入 https://192. 168. 18. 1:81。 统 一 用 户 密码 为 admin/888888。 

@ 配置 网 口 IP, 单 击 “ 网 络 配 置 ">“ 网 口 设置 ”, 如 图 14-1 所 示 。 

@ 如 配置 外 网 口 ,选择 相应 网 口 的 “配置 WAN”, 如 图 14-2 所 示 。 

@ 单 击 “ 保 存 ” 按 钮 ,然后 进入 之 前 的 网 口 配 置 界面 ,配置 内 网 口 ,如 图 14-3 所 示 。 

@ 配置 重 定向 策略 , 单 击 * 防 火 墙 "~“*NAT 策略 ”, 配 置 后 如 图 14-4 所 示 。 

@ 配置 防火 墙 的 管理 设置 。 因 为 默认 只 有 第 一 口 能 够 访问 , 需 做 策略 ,让 2、3 口 能 够 
访问 管理 , 单 击 “ 系 统 ”>“ 管 理 设置 ", 如 图 14-5 所 示 。 

(2) 防火 墙 透 明 模式 (网 桥 模式 ) 的 典型 安装 与 部 署 

在 透明 模式 (桥接 模式 ) 下 ,防火 墙 相当 于 一 个 网 桥 ,通过 将 两 个 网 口 桥接 起 来 ,即将 交 
换 机 和 路 由 器 直接 连接 起 来 ,从 而 无 须 改 动 原 有 网 络 结构 ,将 防火 墙 透明 地 加 入 网 络 。 对 于 
连接 内 网 的 LAN2 口 ,其 IP 地 址 要 设 成 和 内 网 在 同一 个 网 段 。 透 明 模式 适用 于 内 网 、 外 网 
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图 14-2 “NAT 连接 ”窗口 


日 念 Be:ta 
MAC 地址 : 00E04C6C80C7 日 设 定 : 
名 称 : LAN3 
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14-3 配置 内 网 口 


和 DMZ 区 域 等 同 在 一 个 网 段 的 情况 ,网络 拓扑 如 图 14-6 所 示 。 
@ 将 防火 墙 按照 图 14-6 所 示 接 入 当前 网 络 。 由 路 由 器 引入 的 外 线 接 WAN 口 ,由 交换 
机 引出 的 内 部 网 线 接 LAN 口 。 


A>WAN 入 Ee 
Dd EI7 


En BE: T 


站 加 为 ， 自 标 册 口 加 兴 和 提 克 一 评 ， 
口 更 有 上限 则 : 


[2 LC 
1 mp 有 
2 局 所 有 
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4 ww MW 
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14-4 “NAT 策略 "窗口 


图 14-5 “管理 界面 访问 设 定 ” 窗 口 


IP 地 址 : 192.168.0.100 
路 由 器 号 
10.0.0.254/24 


核心 交换 机 


子 网 掩 码 : 255.255.255.0 


内 部 子 网 10.0.0.*/24 PC N 


图 14-6 网 络 拓扑 图 (1) 


229, 


Se 一 ES 
CE 


@ 检验 加 入 后 的 网 络 状况 ,从 内 部 网 络 中 的 任 一 台 PC 无 法 再 ping 通路 由 器 的 对 内 网 
口 IP 地 址 10. 0. 0. 254。 
“系统 信息 ”>“ 设 备 状态 ”, 查 看 网 络 接口 信息 ,可 以 ”局 9 器 本 了 二 下 stat Rx bytes TX bytes 
看 到 当前 的 线路 连接 。WAN 口上 由 于 没有 配置 2 和 名 e010 加 17337 S23154 


LaN2 内 部 192.1681.1 厄 2273531 630 
IP, 无 流量 进出 , 故 仍 显 示 加 ,如 图 147 所 示 。 。 Ps me 时。 
由 于 桥接 要 求 网 口 不 能 是 内 网 口 , 并 且 在 该 网 2 
口上 没有 配置 外 线 连接 ,因此 需要 对 LAN 口 进 行 一 14-7 网络 接口 信息 (1) 


些 设置 。 
图 单 击 “ 网 络 设置 ”>“ 网 口 配置 >“ 网 口 设置 ", 进 入 桥接 设 定 界面 ,如 图 14-8 所 示 。 


选择 分 页 大 小 en NI 时 3 条 记录 
序号 和 名称 类 型 MAC 地 址 趾 寺 址 子 网 醒 双 。 。 MTu 速率 监听 
1 Dt LAN ”000238EFCD 19216811 回 2552552550 民品 2 - 
2 LAN2 | DMZ 内 部 000c2936EFD7 19216801 国 255 255 255 0 1500 auo 
3 AN3 WaN 六 moczasaerel | sm ad 加 fol F | 
编辑 


14-8 网 口 设 置 (1) 


@ 单 击 “ 编 辑 ” 按 钮 后 ,将 LAN 口 的 “类 型 "设置 为 “外 部 网 口 ”, 然 后 单 击 “ 保 存 ” 按 钮 。 
单 击 “ 启 动 ” 按 钮 ,将 LAN 口 设置 为 外 网 口 , 如 图 14-9 所 示 。 


桥接 设置 | VLAN 设 置 | 高 级 
BRo 轩 -ta 
名 称 [LAN I 
类 型 个 内 部 网 DG 外 部 网 。 个 管理 风口 。 个 匈 余 网 个 此 听 网 品 


MAC 地 址 |00:0C:29:38:EF:CD 


MTU [500 
接口 速率 |AUTO | 
流量 审计 “三 直接 流入 流量 三” 转发 流量 


拒绝 直接 流量 厂 


14-9 LAN 设置 


@ 单 击 “ 网 络 设置 "一 “网 口 配 置 ">“ 桥 接 设 定 ”, 进 入 桥接 设 定 界面 ,启用 桥接 ,如 
图 14-10 所 示 。 

定义 一 条 桥接 规则 ,如 图 14-11 所 示 。 

参数 定义 : 

。 名称 : 为 桥 定义 一 个 名 称 。 

。 MAC 地 址 : 为 桥 定义 一 个 MAC 地址 。 

。 IP 地 址 : 为 桥 定义 一 个 IP 地 址 。 

。 子 网 掩 码 : IP 地 址 的 子 网 掩 码 。 
左 框 : 可 用 于 添加 到 桥 的 网 口 ,必须 是 外 部 网 口 。 


IE 一 


图 14-10 “桥接 设 定 ” 窗 口 


图 14-11 定义 桥接 规则 


。 布 框 (Select DEV): 已 经 添加 到 桥 内 的 网 口 。 
。 启用: 勾 选 , 则 单 击 “ 添 加 ”时 同时 启用 。 
@ 添加 一 条 桥接 规则 ,如 图 14-12 所 示 。 


14-12 添加 桥接 规则 


@ 添加 成 功 后 ,在 “ 现 有 规则 ”中 会 出 现 一 条 之 前 定义 的 规则 ,同时 系统 检测 到 网 口 设 
定 已 更 改 , 要 求 重启 网 络 。 重 启 网 络 。 
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@@ 测试 桥接 ,检查 LAN 内 主机 是 否 能 ping 通路 由 地 址 。 从 内 网 任 一 台 主 机 发 起 ping 
到 路 由 器 ,可 以 连通 , 则 防火 墙 桥接 模式 (透明 模式 ) 部 署 成 功 。 

注意 : 防火 墙 的 初始 规则 是 默认 阻挡 所 有 流量 ,在 本 实验 中 ,为 了 方便 实验 ,所 有 设备 
预 设 是 全 部 允许 ,在 接 下 来 的 NAT 部 署 模式 中 也 是 预 设 全 部 允许 通过 , 除 此 之 外 ,在 其 他 
实验 中 都 是 默认 全 部 拒绝 。 

(3) 防火 墙 NAT 模式 (路 由 模式 ) 的 典型 安装 与 部 署 

@ 将 防火 墙 按照 图 14-13 所 示 接 入 当前 网 络 ,由 路 由 器 引入 的 外 线 接 WAN 口 ,由 核心 
交换 机 引出 的 内 部 网 线 接 LAN 口 ,由 DMZ 区 域 的 交换 机 引出 的 网 线 接 DMZ 口 。 


172.16.0.2/29 172.16.0.3/39 


管理 PC 


IP 地 址 : 192.168.0.100 核心 交换 机 
放风 失忆 255255258 昌 。 核 了 交 PEN 


图 14-13 网 络 拓扑 图 (2) 


@ 检验 加 入 防火 墙 后 的 网 络 状 况 , 从 内 部 网 络 中 的 任 一 台 PC 无 法 再 ping 通路 由 器 的 
对 内 网 口 IP: 10. 0. 0. 254。 

@ 通过 管理 PC 登录 防火 墙 系统 , 然 后 单 击 “ 系 人 
统 ”->“ 系 统 信 息 ”>“ 设 备 状态 ”, 查 看 网 络 接 口 信息 ， 同 9 英 型 让 培 正 stat RXbytes TXbytes 
可 以 看 到 当前 的 线路 连接 。WAN 口上 由 于 没有 配置 这 澡 se 站 2 be 
IP, 无 流量 进 、 出 , 故 仍 显示 黑 . ,如 图 14-14 所 示 。 Lan 外 Fn 6 

@ 进入 网 口 配置 界面 ,然后 单 击 “ 网 络 设置 ”~ 


“网 口 配置 "~* 网 口 " 查 看 接口 情况 ,如 图 14-15 国 二 网 党 称 屋 信 起 必 7 


所 示 。 
EURO 
选择 分 页 大 小 [20 司 NAF nr 3 条 记录 村] 
序号 a 同 ”名称 并 型 MAC 地 址 地 址 子 网 者 双 Mru 速率 攻 听 启动 厂 

| LAN 省 时 000c2938EFcD 192168141 回 | 252552550 150 ato 口 OT 

2 | up DMz 内 部 | 000c2938EFD7 19216801 回 2552552550 sm odo |O |@ | 

3 wm ocaseere | A 
EE EE 


图 14-15 网 口 设置 (2) 


FE 


@@ 修改 内 网 主机 IP 配置 ,将 内 网 中 的 主机 IP 设置 为 与 防火 墙 设备 LAN 口 同 一 网 段 
的 地 址 ,并 将 网 关 指 向 LAN 口 地 址 。 

@ 修改 DMZ 区 域 服务 器 IP 配置 ,使 网 关 指 向 DMZ 口 。 

@ 测试 LAN 和 DMZ 区 域 是 否 与 对 应 网 口 连通 。 在 完成 修改 的 PC 上 ping LAN 口 
地 址 ,在 完成 修改 的 PC 上 ping DMZ 口 地 址 ,能 ping 通 , 说 明 LAN 和 DMZ 内 部 主机 已 与 
防火 墙 的 网 口 互 通 了 。 

配置 防火 墙 的 WAN 口 ,然后 单 击 “ 网 络 设置 ">“NAT 配置 ">“NAT 连接 ?进行 
NAT 配置 ,如 图 14-16 所 示 。 


man 本 ED Mam 
图 14-16 连接 设置 
参数 定义 : 


。 左 框 : 选择 一 个 连接 。 
。 名称: 为 连接 定义 一 个 名 称 。 
@ 全 局 设 定 如 图 14-17 所 示 。 


方式 : 静态 IP 连接 到 LanGate 局 动 时 自动 连接 : I 
自 定义 wru: 门 。，，，， 和 还 撤 自动 客 结 : ET 
首 寺 容错 检测 PP: 备用 容错 检测 P : | 
外 部 流量 负载 均 条 : c 网 关 催 开 均 壬 : 5c 
mE 可 
Ed 
14-17 全 局 设 定 
参数 定义 : 


。 方式 : 为 连接 定义 方式 。 
。 LanGate 启动 时 自动 连接 : 勾 选 , 则 在 系统 启动 时 会 自动 采用 这 个 连接 。 

。 自 定义 MTU; 设置 MTU 值 。 

。 连接 自动 容错 : 当 连 接 错 误 时 采取 动作 。 

。 首选 容错 检测 IP: 设置 首选 容错 检测 IP。 

。 备用 容错 检测 IP: 设置 备用 容错 检测 IP。 

。 外 部 流量 负载 均衡 : 是 否 启 用 外 部 流量 负载 均衡 。 

。 网 关 负 载 均衡 : 是 否 启用 网 关 负 载 均衡 。 

。 权重 : 设置 权重 值 。 

@@ 连接 方式 有 静态 IP 连接 ,动态 IP 连接 .PPPoE 和 PPTP 四 种 ,自动 容错 方式 包括 禁 
止 , 重 启 和 TEST。 选择 不 同 的 连接 方式 ,然后 单 击 * 更 新 ”, 会 出 现 相 应 的 设 定 项 (以 静态 连 
接 为 例 ) ,如 图 14-18 所 示 。 

参数 定义 : 

。 网 口 : 选择 当前 可 用 的 外 部 网 口 。 
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网 D : [es| AR: hooozas 

PH 址 : [oor 了 mem: 52552550 | 

首选 os 服务 器 : fo001 人 用 ohs 有 器: | 
Wd 保存 并 连接 


图 14-18 静态 IP 连接 设 定 


。 默认 网 关 : 指向 上 网 网 关 。 

。IP 地 址 : 设置 可 上 网 的 IP 地 址 。 

。 子 网 掩 码 : 设置 子 网 掩 码 。 

。 首选 DNS 服务 器 : 设置 首选 DNS 服务 器 。 

。 备用 DNS 服务 器 : 设置 备用 DNS 服务 器 。 

@ 在 “全 局 配置 "中 选择 “静态 连接 配置 ,接着 进行 静态 IP 连接 的 设 定 。 

四 单 击 “ 系 统 ”>“ 系 统 信 息 ”, 可 以 查看 到 连接 信息 。 若 设置 正确 ,可 以 看 到 网 络 已 经 
连接 。 由 于 防火 墙 设备 能 够 根据 网 口 信息 自动 建立 路 由 表 , 因 此 此 时 内 部 子 网 可 以 连接 到 
防火 墙 上 层 的 路 由 器 ,如 图 14-19 所 示 。 


口 路 由 
目标 地 同 关 子 同 掩 码 标记 度量 网 口 
17216.0.0 9.000 255255255248 U 0 LAN3 
100.00 0.0.00 255255.2550 U 0 LANS 
152.168.00 000 255255.2550 U 0 LAN1 
00.00 10.0.0254 0.000 UG 0 LaNs 


14-19 连接 信息 


@ 检查 内 网 是 否 ping 通 外 网 。 从 内 网 任 一 台 主机 发 起 ping 到 路 由 器 ,车 可 以 连通 ,说 
明 防 火 墙 的 NAT 模式 部 署 成 功 。 


14.4.2 任务 2: 使 用 防火 墙 实现 策略 管理 


1. 任务 目标 

了 解 策略 管理 的 意义 ; 熟练 掌握 配置 访问 策略 的 方法 ,包括 服务 对 象 . 访 问 目的 .访问 
源 、 动 作 的 设置 ; 熟练 掌握 配置 策略 映射 的 方法 ; 掌握 配置 LAN 与 WAN 间 的 互 访 规则 的 
方法 并 进行 验证 。 

2. 工作 任务 

(1) 架设 实验 环境 ， 

(2) 实验 分 析 ; 

(3) 检查 各 点 网 络 状况 ; 

(4) 设置 端口 映射 ,实现 访问 的 互通 ; 

(5) 为 LAN 内 PC 设置 对 外 访问 策略 ,实现 访问 的 互通 。 

3. 工作 环境 

(1) 三 台 预 装 Windows Server 2003/XP 的 主机 。 

(2) 一 台 防 火 墙 设备 一 台 二 层 交 换 机 ,一 台 三 层 交换 机 一 台 路 由 器 。 


壬 作 任 务 十 四 ”防火 墙 的 配置 与 应 用 


4. 实施 过 程 

(1) 架设 实验 环境 

按照 图 14-20 所 示 完 成 线路 连接 。WAN 口 接 入 一 台 PC 作为 外 部 主机 (开启 22 端口 
和 21 端口 , 即 SSH 服务 和 FTP 服务 ) ,地 址 为 10. 0. 0.100/24, 网 关 指 向 10. 0. 0.1; DMZ 
口 接 入 一 个 Web 服务 器 提供 Web 服务 ,地 址 为 172. 16. 0. 2/29, 网 关 指 向 172. 16. 0. 1; 
LAN 区 域 接 入 一 个 192. 168. 1.0/24 的 子 网 ,网 关 指 向 192. 168. 1. 1 。 


172.16.0.2/29 DMZ 


外 网 机 器 
10.0.0.100/24 
172.16.0.3/39 
内 部 子 网 192.168.1.*/24 
PC 1 
Peo 
核心 交换 机 羽 
PCN 
图 14-20 ”网络 拓扑 图 (3) 
(2) 实验 分 析 


默认 情况 下 ,连接 在 防火 墙 不 同 网 口 的 网 络 是 不 能 互相 访问 的 。 为 了 使 各 个 网 络 间 实现 
互通 ,需要 建立 网 络 间 的 通信 通道 。 外 网 访问 内 网 通过 端口 映射 机 制 实现 ,内 网 访问 外 网 通过 
设置 访问 规则 控制 ,它们 都 是 通过 建立 通信 规则 ,并 将 规则 应 用 到 不 同 网 口 、 网 段 或 IP 上 实现 。 

(3) 检查 各 点 网 络 状况 

@ 外 部 主机 (10. 0. 0. 100/24) 可 以 ping 通 防火 墙 的 WAN 口 地 址 (10. 0. 0. 1) ,但 是 没 
有 办 法 到 达 DMZ 区 的 Web 服务 器 (172. 16. 0. 2) 。 因 为 对 于 10. 0. 0. 100 来 说 ,Web 服务 
器 的 地 址 是 一 个 其 他 网 络 的 内 网 地 址 。 

@ Web 服务 器 (172. 16. 0. 2/29) 主机 无 法 ping 通 外 网 PC(10. 0. 0. 100) ,因为 防火 墙 
上 默认 拒绝 连 出 。 

@ LAN 区 主机 (192. 168. 1. 2/24) 无 法 ping 通 外 网 PC(10. 0.0. 100) 。 

由 于 当前 网 络 被 防火 墙 隔离 了 ,使 得 内 、 外 网 无 法 互 访 ,这 时 通过 端口 映射 的 方式 ,使 得 
外 网 可 以 访问 内 部 网 络 ,同时 通过 策略 设置 ,使 内 网 可 以 访问 外 网 。 

(4) 设置 端口 映射 ,实现 访问 的 互通 

一 个 端口 映射 可 以 把 所 有 外 部 对 内 部 的 某 种 请 求 映射 到 部 署 在 DMZ 的 网 站 服务 器 的 
任 一 端口 。 本 实验 中 Web 服务 器 的 IP 为 172. 16. 0. 2/29 ,要 访问 到 Web 服务 器 提供 的 服 
务 , 就 要 使 所 有 外 部 80 端口 的 访问 都 指向 172. 16. 0.2/29 的 80 端口 。 

@ 单 击 “ 防 火 墙 ">“NAT 策略 ”>“DNAT 策略 ”界面 ,选择 对 应 的 外 网 连接 ,如 图 14-21 
所 示 。 
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ES 
14-21 外 部 接口 设置 


@ 设置 规则 参数 ,填写 源 端 口 、 目 标 IP、 目 标 端 口 , 然 后 选择 “启用 ”, 如 图 14-22 所 示 。 


| 
功 议 EE 0 [ii 回 


福 P: Eo)| 源 清 口 : 自 定义 司 和 X: Fa 
目标 P: 1721602 目标 端口 : 国 自 定 义 到 自 定义 : [四 
备注 : | 局 用 : 网 添加 


如 为 空 ， 目 标 端口 默认 和 源 端 口 一 样 。 


图 14-22 添加 规则 (1) 


参数 定义 : 

。 协议 : 定义 连接 使 用 的 协议 。 

。 外 部 IP 或 网 络 ( 空 为 所 有 ): 设置 允许 连接 的 外 部 IP 或 网 络 , 留 空 代表 任意 值 。 

。 记录 连接 : 记录 使 用 该 端口 映射 的 网 络 数 据 。 

。 源 IP: 访问 到 防火 墙 的 外 部 网 口 或 外 部 别名 ,为 默认 选项 。 

。 源 端口 : 映射 到 的 访问 端口 ,这 里 指 外 部 连接 Web 服务 器 时 采用 的 端口 。 

。 目标 IP: 端口 映射 到 的 目标 IP, 这 里 指 Web 服务 器 的 IP 地 址 。 

。 目标 端口 : 端口 映射 到 的 目标 端口 .这 里 指 Web 服务 器 将 被 访问 的 端口 。 

在 端口 选择 时 ,系统 预定 义 了 很 多 公认 端口 ; 也 可 以 选择 确定 端口 ; 还 可 以 选择 “ 自 定 
义 ”, 然 后 在 后 面 的 框 中 填 人 具体 的 端口 值 。 

@ 这 里 把 外 网 地 址 10. 0. 0. 1 的 80 端口 映射 到 172. 16. 0. 2 的 80 端口 ,就 是 说 , 当 访 
问 10.0.0.1 的 80 端口 时 ,防火 墙 会 把 这 个 地 址 自动 映射 为 172. 16.0.2 的 80 端口 。 

@ 查看 “ 现 有 规则 ”, 如 图 14-23 所 示 。 


回 荔 R 外 名 天 天 这 口 目标 P 目标 光 吕 区 HH 
| EE | RN RD | vez | me | ©O orl 


图 14-23 查看 “ 现 有 规则 ”(1) 


这 时 ,一 个 外 网 访问 内 网 的 通道 被 打开 。 注 意 , 在 创建 端口 映射 时 要 十 分 谨慎 ,因为 端 
口 映 射 为 外 部 网 络 访问 内 部 网 络 提供 了 一 个 通道 ,如 果 被 黑客 使 用 ,可 能 会 访问 目标 IP 并 
通过 目标 IP 访问 其 他 主机 。 

@ 验证 设置 。 外 部 主机 (10. 0. 0. 100/24) 通 过 http://10. 0. 0. 1 可 以 访问 DMZ 区 
的 Web 服务器; DMZ 区 的 Web 服务 器 (172. 16. 0. 2/29) 主机 仍然 无 法 ping 通 外 网 PC 
(10.0.0.100) 。 

(5) 为 LAN 内 PC 设置 对 外 访问 策略 ,实现 访问 的 互通 

@D 单 击 “ 防 火 墙 “LAN 一 “WAN 策略 ?一 “规则 设置 ,设置 一 个 访问 策略 , 如 
图 14-24 所 示 。 


i 


访问 策略 | 给 访问 策略 | 


EsE| 


局 拒 交 指定 芋 品 


屏蔽 sDonkey: 厂 
屏 节 NSN: 三 


屏蔽 KazaA: 万 屏蔽 Gnvtea: 万 屏蔽 Drectcomec: 万 屏 项 Birorent: 万 


删除 访问 规则 名 称 : Noucy 
”允许 指定 第 口 启用 拒绝 B 志 : 并 后 台 记录 模式 : ”三 


屏蔽 Yanoc- 三 屏蔽 Stype: 中 


屏蔽 ao- 三 屏 项 co- 三 


参数 定义 : 

”访问 规则 名 称 : 
”拒绝 指定 端口 : 
。 允许 指定 端口 : 
。 启用 拒绝 日 志 : 


。 后 台 记录 模式 : 


任何 屏蔽 。 


图 14-24 规则 设置 


定义 访问 规则 的 名 称 。 

选择 该 选项 ,该 访问 策略 中 的 所 有 端口 将 被 拒绝 访问 。 

选择 该 选项 ,该 访问 策略 中 的 所 有 端口 将 被 允许 访问 。 

选择 该 选项 ,所 有 违反 该 访问 策略 的 外 部 访问 将 被 记录 。 
选择 该 选项 ,所 有 违反 该 访问 策略 的 外 部 访问 将 被 记录 ,同时 不 做 


@ 设置 完毕 后 , 单 击 “ 保 存 " 按 钮 ,就 预定 义 了 一 条 名 为 “YLAN-POLICY” 的 访问 策略 。 
当前 策略 中 定义 了 “对 FTP 的 连接 ”和 “对 123 端口 的 UDP 通信 ”, 选 择 拒绝 ,应 用 程序 无 设 
置 。 接 下 来 ,将 该 策略 应 用 到 某 些 IP 或 子 网 上 ,如 图 14-25 所 示 。 


LAN-POLICY 可 


他 ”拒绝 指定 端口 


屏蔽 eDonkey: 三 
屏蔽 NSN 厂 


| 有 | 。 ma: [ER | 
Da 二 


屏 节 Kazaa: 三 屏 项 Gnueta: 三 屏蔽 Drecconnect: 万 屏蔽 BrTorrent: 三 
屏 项 oa: 三 屏蔽 co: 万 屏 项 Yanoo: 万 屏蔽 stype: 万 


图 14-25 “LAN-POLICY” 的 访问 策略 


加 单 击 “ 防 火 墙 ">“LAN”>“WAN 策略 ”>“ 访 问 策略 ”, 应 用 该 策略 ,然后 填写 策略 
的 实施 对 象 ,并 选择 规则 ,最 后 单 击 “ 添 加 ”按钮 ,如 图 14-26 所 示 。 
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由 车 关 全 吉大 | 
PC 


宕 5 或 网 络 : 92 168 1.2 规则 : LANPoLICY 司 
备注 : 启用: 隐 添加 


图 14-26 添加 规则 (2) 


参数 定义 : 

。 源 全 或 网 络 : 定义 访问 策略 实施 的 对 象 。 

。 规则 : 选择 要 实施 的 访问 策略 。 

规则 中 除了 有 自 定义 的 外 ,还 有 全 部 拒绝 和 全 部 允许 的 选项 。 
@ 查看 “ 现 有 规则 ”, 如 图 14-27 所 示 。 


mv 租 P I ee T 启动 选择 
+| 192.16812 | Lek-PoLcY | 已 一 


14-27 查看 “ 现 有 规则 ”(2) 


@@ 验证 设置 。 内 网 PC(192.168.1.2/24) 可 以 ping 通 外 网 PC(10.0.0.100); 内 网 PC 
(192. 168. 1. 2/24) 可 以 访问 外 网 PC 的 22 端口 ; 内 网 PC(192. 168. 1. 2/24) 无 法 访问 外 网 
PC 的 21 端口 。 

@ 查看 日 志 可 以 看 到 拒绝 记录 ,要 求 规则 设置 时 有 启用 拒绝 日 志 , 并 且 日 志 设 定 中 有 
开启 防火 墙 的 日 志 。 单 击 * 报 表 日 志 ”* 系 统 日 志 ”- 盖 防火 墙 " ,选择 种 类 * 启 用 拒绝 日 志 ”， 
目标 IP 填 *10. 0. 0. 100”, 最 后 单 击 “* 更 新 ”, 可 以 查看 到 该 记录 。 

Web 服务 器 (172. 16. 0. 2/29) 无 法 ping 通 外 网 PC。LAN 区 域 访问 外 网 成 功 ,但 是 
DMZ 区 域 依然 无 法 访问 外 网 ,说明 对 外 访问 策略 成 功 。 


14.4.3 任务 3: 使 用 防火 墙 进行 流量 控制 


1, 任务 目标 

流量 控制 是 网 络 安全 管理 的 一 项 重要 应 用 。 通 过 使 用 防火 墙 应 能 控制 网 络 流量 的 实现 
过 程 。 带 宽 管理 包括 广义 的 带宽 限制 ,如 针对 协议 、 端 口 .多 个 IP、 组 用 户 ; 也 有 固定 的 带宽 
限制 ,如 针对 单个 IP 固定 流量 等 。 理 解 流量 控制 的 意义 ,掌握 配置 网 络 流量 策略 的 方法 。 


2, 工作 任务 

(1) 启动 带宽 管理 ; 

(2) 配置 网 络 流量 策略 ; 

(3) 添加 网 络 流量 应 用 规则 ; 
(4) 配置 P2P 功能 ; 

(5) 添加 固定 流量 规则 。 


3. 工作 环境 
(1) 一 台 预 装 Windows Server 2003/XP 的 主机 。 
(2) 一 台 防 火 墙 设备 。 


i 


4. 实施 过 程 

(1) 启动 带宽 管理 

选择 “带宽 管理 ”>“ 启 动 控制 ”>“ 手 动 启动 ”, 然 后 单 击 “ 启 动 ”按钮 ,当前 状态 显示 为 
“运行 ”。 单 击 屏幕 下 方 的 “保存 ”按钮 ,如 图 14-28 所 示 。 


14-28 带宽 管理 


(2) 配置 网 络 流量 策略 


@ 如 图 14-29 所 示 , 外 部 ”有 端口 的 上 \ 下 行 流量 设置 ,用 户 可 根据 需求 进行 设置 , 完 
成 后 单 击 “ 保 存 " 按 钮 。 


下 行 : 100 Megabitls ~ 自 定 X: 门 Kews ~ 
上 行 : 100 Megabit/s 7 ” 自 定 X Kbitlis ~ 
[一 | 
上 行 8 下行: 100 Megabitls ~ 自 定义 : Kbts ~ 
一 
上 行 8 下 行 : 100 Megabitls ~ 自 定 X Kbitls ~ 
一 | 
上 行 & 下行: 100 Megabit/s ~ 自 定义 Kbitls 
保存 


图 14-29 流量 设置 


@ 进入 “网 络 流量 策略 "界面 , 单 击 “ 添 加 ”按钮 ,配置 流出 的 HTTP(80) 流 量 ,如 图 14-30 
所 示 。 


[| 
14-30 “增加 设置 "窗口 (1) 


一 人 ss | 


“当前 流量 策略 ”中 将 出 现 新 增 策略 。 如 需 特殊 的 限制 ,可 在 “协议 ”"“ 服 务 ”"“ 流 量 ” 
和 “流向 ”下 拉 框 中 完成 相应 的 选择 。 如 果 选 择 “ 全 局 ”, 则 将 当前 策略 应 用 于 内 网 所 有 用 户 ， 
如 图 14-31 所 示 。 


口 当前 流 最 策略 : 

sO 服务 到 县 最 务 记 录 依 厂 

| HTTP 默 人 所 有 外 部 TcP i HTP Ce0) rm NA OOF 
二 加 人 EE 


14-31 新 增 策略 


(3) 添加 网 络 流量 应 用 规则 
@ 单 击 “ 网 络 流量 应 用 规则 ”, 再 单 击 “ 添 加 ”按钮 ,完成 配置 ,如 图 14-32 所 示 。 


#3 局 用 隐 

TI 

me [rmp 司 

内 部 TP [52166112192166113 
一 一 一 一 


外 部 他 
MF [ 蒜 认 司 


备注 |12-13http 


14-32 “增加 设置 ”窗口 (2) 


@ 单 击 “ 保 存 ” 按 钮 ,出 现 针对 IP 地 址 192. 168. 1. 12 一 192. 168. 1. 13 范围 内 的 共用 带 
宽 设 置 的 限制 HTTP 服务 的 策略 ,如 图 14-33 所 示 。 


网 络 流量 策略 | 服务 | p2p 固定 流量 规则 | 用 户 组 


选择 分 页 大 小 |20 到 NA4h npm 


策略 名 a。 顾 计 内 部 中 


http 默认 1921681.12-19214681.13 


12-13nttp 
添加 


14-33 “ 现 有 网 络 流量 应 用 规则 ”窗口 


@ 在 “内 部 IP” 中 只 填 入 一 个 192. 168. 1. 12 用 户 的 IP, 就 是 只 限制 一 个 用 户 的 HTTP 
服务 的 策略 ,如 图 14-34 所 示 。 


192468112 


图 14-34 只 限制 一 个 用 户 的 策略 
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(4) 配置 P2P 功能 
可 以 利用 P2P 功能 对 一 些 常 用 的 P2P 软件 进行 流量 种 类 方面 的 限制 。 
@ 单 击 *P2P” 进 入 P2P 配置 窗口 ,如 图 14-35 所 示 。 


网 D [所 有 外 部 可 


流量 类 型 |BitTorent 。 到 
流量 种 类 他 流量 |low 到 个 服务 |BE 到 
备注 


保存 


图 14-35 “增加 设置 ”窗口 (3) 


@ 配置 完毕 后 单 击 “ 保 存 ” 按 钮 ,“ 当 前 P2P 策略 ”中 出 现 一 条 针对 内 部 网 口 的 P2P 限 
制 策 略 ,如 图 14-36 所 示 。 


第 咯 名 。 大计 网 吕 流量 服务 流量 种 类 记录 全 局 厂 
pap 默认 所 有 外 部 BRTorent | 
|] Em] 


14-36 “当前 P2P 策略 ”窗口 


(5) 添加 固定 流量 规则 

@ 限制 流量 种 类 为 low( 低 级 别 ), 即 保证 15% 带 宽 , 使 用 上 限 为 40% 带 宽 。 可 以 在 “网 
络 流量 应 用 规则 ”中 将 该 策略 应 用 给 某 个 IP 或 是 某 段 IP, 也 可 应 用 于 全 局 ,如 图 14-37 
所 示 。 


网 络 流量 策略 | 服务 | p2pP 
eS 
远近 分 页 大 小 [20 可 NA nb 0 条 记录 [EE 
口 现 有 网 络 流量 应 用 规则: 


固定 流量 规则 | 用 户 钥 


SS  。。 厂 NP || 
名 广 
pttp 默认 192468112 所 有 P IE 


14-37 策略 应 用 


@ 添加 固定 流量 规则 ,可 以 对 从 LAN 口 ( 源 ) 到 WAN 口 (目的 ) 出 去 的 IP 或 是 某 段 IP 
进行 固定 带宽 的 限制 ,如 图 14-38 所 示 。 

@ 配置 完毕 后 单 击 “ 保 存 ” 按 钮 “ 现 有 规则 ”中 将 增加 一 条 针对 192. 168. 1. 12 一 
192. 168. 1. 13 用 户 固定 流量 带宽 的 限制 规则 ,如 图 14-39 所 示 。 

在 没 做 上 述 限制 的 情况 下 ,使 用 下 载 工 具 下 载 , 下 载 速度 会 占用 整个 带宽 的 最 大 值 。 在 
将 上 、 下 行 带宽 限制 为 50KB/s 后 ,下 载 速度 会 限制 在 50KB/s 以 内 。 在 实际 应 用 中 ,外 部 网 
口 .内 部 网 口 和 上 、 下 行 带宽 的 单位 应 根据 实际 情况 而 定 。 
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: 人 dl 
et 


Ga | 局 用 区 记录 至 接 : ” 古 
外 部 交口 [WAN 100Mbit 到 
内 部 网 D [LAN 司 
KTH 加。 [Keyan 可 
最大 上 本 如。 [Koyte/s 本 


内 部 IF 地 址 |192.168 .1.12-192.168 


获取 单 I? 方 式 | None 了 | 
备注 
保存 返回 


图 14-38 添加 固定 流量 规则 


上 ^ 外 部 同 口 内 部 同 口 内 部 Ip 地 址 下 行 带 宣 上行 带 寅 Per 启动 厂 | 
芍 述 
1 WN | LAN ， 19z16611219216el3 5 me sa re DBIr 
添加 编辑 删除 


14-39 配置 完成 窗口 


145 常见 问题 解答 


NAT 的 分 类 及 作用 是 什么 ? 

答 : 网 络 地 址 转换 (Network Address Translation, NAT) 是 一 个 IETF (Internet 
Engineering Task Force,Internet 工程 任务 组 ) 标 准 , 人 允许 一 个 机 构 以 公 网 IP 地 址 出 现在 互 
联网 上 。 换 言 之 , 它 是 一 种 把 内 网 私有 网 络 地 址 (IP 地 址 ) 翻 译 成 合法 公 网 IP 地 址 的 技术 。 
NAT 有 三 种 类 型 : 静态 NAT、 动 态 NAT 和 网 络 地址 端口 转换 (Network Address Port 
Translation,NAPT)。 静 态 NAT 是 把 内 部 网 络 中 的 每 台 主 机 都 永久 映射 成 外 部 网 络 中 的 
某 个 合法 地 址 。 动 态 NAT 是 在 外 部 网 络 中 定义 一 系列 合法 地 址 ,采用 动态 分 配 的 方法 映 
射 到 内 部 网 络 。 网 络 地 址 端口 转换 NAPT 则 是 把 内 部 地 址 映射 到 外 部 网 络 的 一 个 IP 地 址 
的 不 同 端 口上 。 动 态 NAT 只 是 转换 IP 地 址 , 它 为 每 个 内 部 IP 地 址 分 配 一 个 临时 的 外 部 
IP 地 址 ,主要 应 用 于 拨号 。 当 远程 用 户 连接 上 之 后 ,动态 地 址 NAT 就 会 分 配给 它 一 个 IP 
地 址 ; 当 用 户 断 开 网 络 连接 时 ,该 IP 地 址 会 被 释放 ,留待 以 后 使 用 。NAPT 普遍 应 用 于 接 
入 设备 中 , 它 将 中 小 型 网 络 隐藏 在 一 个 合法 的 IP 地 址 后 面 。NAPT 与 动态 NAT 的 不 同 之 
处 在 于 , 它 将 内 部 连接 映射 到 外 部 网 络 中 的 一 个 单独 的 IP 地 址 上 ,同时 在 该 地 址 上 加 一 个 
由 NAT 设备 选 定 的 TCP 端口 号 。 
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146 过 关 练 习 


一 、 选 择 题 
1. 为 了 防止 局 域 网 外 部 用 户 对 内 部 网 络 的 非法 访问 ,可 采用 的 技术 是 ( ”)。 
A. 网 卡 B. 网 关 C. 网 桥 D. 防火 墙 


2. 关于 防火 墙 的 功能 ,以 下 ( ) 描 述 是 错误 的 。 
A. 防火 墙 能 检查 进 、 出 内 部 网 的 通信 和 量 
B. 防火 墙 能 使 用 应 用 网 关 技 术 在 应 用 层 上 建立 协议 过 滤 和 转发 功能 
C. 防火 墙 可 以 使 用 过 滤 技术 在 网 络 层 对 数据 包 进 行 选 择 
D. 防火 墙 能 阻止 来 自 网 络 内 部 的 威胁 和 攻击 
3. 包 过 滤 防 火 墙 通过 ( ) 来 确定 数据 包 是 否 能 通过 。 
A. 路 由 表 B. ARP 表 C. NAT 表 D. 过 滤 规 则 
4. 包 过 滤 防 火 墙 对 通过 防火 墙 的 数据 包 进 行 检查 ,只 有 满足 条 件 的 数据 包 才能 通过 ， 
对 数据 包 的 检查 内 容 一 般 不 包括 ( Ns 
A. 源 地 址 B. 目的 地 址  C. 协议 D. 有 效 载荷 


二 、 简 答题 
防火 墙 是 否 可 以 防范 病毒 ?为 什么 ? 


工作 任务 十 五 
-一 | 六 侵 检 测 系统 1DS 的 部 署 与 配置 


151 用 户 需 求 与 分 析 


随 着 网 络 安全 风险 不 断 增 大 ,仅仅 使 用 防火 墙 作为 最 主要 的 安全 防范 手段 来 保护 网 络 
的 安全 远 远 不 够 ,已 不 能 满足 人 们 对 网 络 安全 的 需求 。 因 为 一 方面 ,网 络 攻击 者 可 能 不 断 地 
寻找 防火 墙 的 漏洞 ,并且 防火 墙 无 法 保护 防火 墙 内 的 网 络 的 安全 性 ; 另 一 方面 ,防火 墙 无 法 
提供 实时 的 人 侵 检 测 能 力 。 因 此 ,使 用 入 侵 检测 系统 IDS 有 助 于 快速 发 现 网 络 攻击 ,提高 
网 络 安 全 管理 员 的 安全 审计 、 监 视 、 进 攻 识别 和 响应 能 力 。 有 人 将 IDS 产品 比 作 继 杀 毒 和 
防火 墙 产 品 之 后 安全 领域 的 第 三 战场 。 


152 预备 知识 


15.2.1 人 侵 检测 的 功能 


入 侵 检 测 系统 IDS(Intrusion Detection Systems) 最早 在 1980 年 4 月 由 美国 空军 在 名 
为 (计算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 中 提出 。 它 是 一 种 实时 的 网 络 入 侵 检测 和 响应 
系统 ,能 够 实时 监控 网 络 传输 ; 依照 一 定 的 安全 策略 ,对 被 保护 的 网 络 流量 进行 检测 ,或 对 
系统 的 运行 状况 进行 监视 ,自动 检测 可 疑 行为 ; 分 析 来 自 网 络 外 部 和 内 部 的 入 侵 信号 , 尽 可 
能 发 现 各 种 攻击 企图 、 攻 击 行为 或 攻击 结果 ; 在 发 现 有 人 侵 行为 或 者 将 要 有 人 侵 行 为 时 发 
出 告警 ,实时 对 攻击 做 出 响应 ,并 提供 补救 措施 ,以 保证 网 络 系统 资源 的 机 密 性 完整 性 和 可 
用 性 ,最 大 限度 地 为 网 络 系统 提供 安全 保障 。 

常见 的 人 侵 检测 系统 的 功能 如 下 : 

(1) 网 络 流量 管理 。 大 多 数 入 侵 检测 系统 IDS 允许 记录 ,报告 和 禁止 几乎 所 有 形式 的 
网 络 访问 ,还 可 以 用 它 监视 某 一 台 主 机 上 通过 的 所 有 网 络 流量 。 当 定义 了 策略 和 规则 后 ,在 
设备 上 可 以 捕获 到 HTTP、FTP、SMTP、Telnet 和 任何 其 他 流量 。 这 种 策略 和 规则 有 助 于 
追查 网 络 连接 等 相关 信息 。 

(2) 系统 扫描 。 入 侵 检 测 系统 IDS 扫描 当前 网 络 的 活动 ,监视 和 记录 网 络 的 流量 ,根据 
定义 好 的 规则 来 过 滤 各 种 流量 ,提供 实时 警报 。 

(3) 追踪 。 入 侵 检测 系统 IDS 不 仅 能 记录 安全 事件 ,还 可 以 确定 安全 事件 发 生 的 位 置 。 
通过 追踪 来 源 , 可 以 更 多 地 了 解 攻 击 者 。 入 侵 检测 系统 IDS 记录 下 的 日 志 不 仅 可 以 记录 攻 
击 过 程 ,同时 有 助 于 确定 解决 方案 。 


王 作 任务 十 五 入 侵 检测 系统 IDS 的 部 署 与 配置 


15.2.2 人 侵 检测 的 工作 原理 


本 质 上 ,入 侵 检测 系统 IDS 是 一 个 典型 的 嗅 探 设备 , 它 在 网 络 上 被 动 地 ,无 声息 地 收集 
需要 的 报 文 , 像 公 路 上 的 摄像 头 一 样 ,对 攻击 者 的 入 侵 行为 进行 监测 ,对 网 络 安 全 起 保护 作 
用 。 入 侵 检 测 系统 IDS 的 运行 方式 有 两 种 ,一 种 是 在 目标 主机 上 运行 ,以 监测 本 身 的 通信 
信息 ; 另 一 种 是 在 一 台 单独 的 机 器 上 运行 ,以 监测 所 有 网 络 设备 的 通信 信息 ,如 Hub、 路 由 
器 等 。 当 有 某 个 事件 与 一 个 已 知 攻击 的 特征 相 匹配 时 ,多 数 IDS 都 会 报警 。 

入 侵 检 测 系统 IDS 处 理 网 络 上 数据 信息 的 过 程 分 为 数据 采集 阶段 ,数据 处 理 及 过 滤 阶 
段 、. 入 侵 分 析 及 检测 阶段 和 报告 及 响应 阶段 共 四 个 阶段 。 

数据 采集 阶段 收集 目标 系统 中 的 主机 通信 数据 包 和 系统 使 用 的 数据 信息 。 它 是 入 侵 检 
测 的 第 一 步 。 探 测 器 通过 监测 接口 捕获 网 络 分 组 ,采集 的 数据 包括 系统 、 网 络 、 数 据 及 用 户 
获得 的 状态 和 行为 。 由 放置 在 不 同 网 段 的 传感器 或 不 同 主机 的 代理 来 收集 包括 系统 和 网 络 
日 志文 件 、 网 络 流量 、 非 正常 的 目录 和 文件 改变 、 非 正常 的 程序 执行 等 信息 。 

数据 处 理 及 过 滤 阶 段 对 采集 到 的 数据 进行 分 析 和 处 理 。 如 果 有 需要 ,对 报 文 进行 重组 ， 
并 与 标识 典型 人 侵 行为 的 规则 进行 比较 。 最 常用 的 技术 手段 有 三 种 ,分 别 是 模式 匹配 、 统 计 
分 析 和 完整 性 分 析 。 

入 侵 分 析 及 检测 阶段 是 整个 人 侵 检测 系统 的 核心 阶段 。 根 据 数据 采集 阶段 提供 的 数 
据 , 以 及 数据 处 理 及 过 滤 阶 段 产生 的 分 析 结 果 来 判断 是 否 发 生 入 侵 。 如 果 通 过 数据 分 析 , 判 
断 网 络 中 可 能 发 生 了 入 侵 行为 , 则 通过 命令 和 控制 接口 通知 管理 控制 台 。 

在 报告 及 响应 阶段 ,如 果 检 测 到 了 入 侵 ,管理 控制 台 将 发 出 警告 ,书写 日 志 并 采取 某 些 
行动 ,可 能 是 重新 配置 路 由 器 或 防火 墙 .终止 进程 .切断 连接 、 改 变 文件 属性 ,也 可 能 只 是 简 
单 地 警告 。 


15.2.3 人 侵 检测 系统 的 分 类 


入侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 。 入 侵 检测 通过 对 入 侵 行为 的 过 程 和 
特征 进行 研究 ,使 安全 系统 对 人 侵 事 件 和 入 侵 过 程 做 出 实时 响应 。 根 据 输 入 数据 的 来 源 , 把 
人 侵 检测 系统 分 为 三 类 。 


1. 基于 主机 的 入 侵 检测 系统 (HIDS) 

基于 主机 的 人 侵 检测 系统 输入 数据 来 源 于 系统 的 审计 日 志 , 主 要 是 针对 该 主机 的 网 络 
实时 连接 ,以 及 对 系统 审计 日 志 进 行 智 能 分 析 和 判断 。 基 于 主机 的 人 侵 检 测 系统 通常 安装 
在 被 重点 检测 的 主机 上 ,最 适合 检测 内 部 人 员 的 误 用 以 及 已 经 避 开 了 传统 的 检测 方法 而 渗 
透 到 网 络 中 的 活动 。 其 优点 是 对 分 析 “ 可 能 的 攻击 行为 ”非常 有 用 ,而 且 主 机 入 侵 检测 系统 
通常 比 网 络 人 侵 检 测 系统 误 报 率 要 低 ; 缺点 是 主机 入 侵 检 测 系 统 需要 安装 在 需要 保护 的 设 
备 上 ,依赖 于 服务 器 固有 的 日 志和 监测 能 力 。 如 果 全 面部 署 主机 入 侵 检 测 系统 ,花费 较 大 ， 
只 能 选择 部 分 主机 进行 保护 ,而 那些 未 安装 主机 入 侵 检 测 系统 的 计算 机 将 成 为 保护 的 盲点 ， 
入 侵 者 可 以 把 这 些 计算 机 作为 攻击 目标 ,并 且 主 机 入 侵 检 测 系统 除了 监测 自身 的 主机 外 , 根 
本 不 监测 网 络 上 的 情况 。 


2. 基于 网 络 的 入 侵 检测 系统 (NIDS) 
基于 网 络 的 人 侵 检测 系统 输入 数据 来 源 于 网 络 信息 流 , 通 常 部 署 在 企业 网 络 出 口 处 或 
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内 部 关键 子 网 边界 等 比较 重要 的 网 段 内 ,检测 流 经 整个 网 络 的 流量 和 网 段 中 的 各 种 数据 包 。 
它 能 够 检测 该 网 段 上 发 生 的 网 络 入 侵 ; 也 可 以 在 检测 到 入 侵 后 ,通过 向 连接 的 交换 机 或 防 
火 墙 发 送 指令 , 阻 断后 续 攻 击 。 网 络 入 侵 检 测 系 统 的 优点 是 能 够 检测 来 自 网 络 的 攻击 ,能够 
检测 到 未 授权 的 非法 访问 。 它 不 需要 改变 服务 器 等 主机 配置 ,不 需要 安装 额外 软件 ,不 会 影 
响 系统 的 性 能 。 网 络 入侵 检测 系统 安装 方便 ,只 要 接 通 电源 ,做 一 些 简 单 配置 ,再 连接 到 网 
络 上 即 可 。 部 署 网 络 入 侵 检测 系统 比 主 机 入 侵 检测 系统 风险 小 很 多 ,发 生 故障 不 会 影响 正 
常 业务 运行 。 其 缺点 是 网 络 入 侵 检测 系统 只 检查 直 连 网 段 的 通信 ,不 能 检测 不 同 网 段 的 网 
络 包 ; 并 且 网 络 入 侵 检测 系统 通常 采用 特征 检测 法 ,只 能 检测 出 普通 攻击 ,很 难 实现 复杂 
的 ,需要 大 量 计算 和 分 析 时 间 的 攻击 检测 。 


3. 分 布 式 入 侵 检 测 系统 
分 布 式 入 侵 检 测 系 统 是 采用 上 述 两 种 数据 来 源 , 能 够 同时 分 析 来 自主 机 系统 审计 日 志 
和 网 络 数据 流 的 入 侵 检 测 系 统 。 一 般 为 分 布 式 结构 ,由 多 个 部 件 组 成 。 


15.2.4 人 侵 检测 系统 设备 介绍 


入 侵 检 测 系统 IDS 产品 主要 分 为 硬件 和 软件 两 种 。 这 里 讨论 的 主要 是 硬件 产品 。 硬 
件 产品 和 防火 墙 一 起 放置 在 机 架 上 ,而 不 是 安装 在 操作 系统 中 ,可 以 很 容易 地 把 入 侵 检测 系 
统 IDS 嵌入 网 络 。 一 个 硬件 入 侵 检 测 系统 IDS 主要 由 传感器 (Sensor) 和 控制 台 (Console) 
两 部 分 组 成 。 传 感 器 的 作用 是 采集 数据 ,包括 网 络 数据 包 、 系 统 日 志 等 ,分 析 数 据 并 生成 安 
全 事件 。 控 制 台 的 作用 是 中 央 管 理 ,通常 具有 图 形 界面 ,便于 控制 和 管理 。IDS 设备 的 控制 
端 称 为 Console 口 。IDS 的 初始 化 配置 是 通过 控制 端口 (Console) 与 计算 机 的 串口 (RS- 
232) 相 连 , 再 通过 Windows 系统 自 带 的 超级 终端 程序 进行 配置 。 

入 侵 检测 系统 常用 的 检测 方法 有 特征 检测 ,统计 检测 和 专家 系统 。 据 公安 部 计算 机 信 
息 安全 产品 质量 监督 检验 中 心 的 报告 ,国内 送 检 的 入 侵 检 测 产 品 95% 是 属于 使 用 入 侵 模板 
进行 模式 匹配 的 特征 检测 产品 ,其 他 5% 是 采用 概率 统计 的 统计 检测 产品 与 基于 日 志 的 专 
家 知识 库 产品 。 市 面 上 的 入 侵 检测 产品 很 多 ,如 何 判 断 一 款 入 侵 检 测 产 品 是 否 适合 用 户 自 
己 的 需要 ,通常 考虑 的 要 点 如 表 15-1 所 示 。 


表 15-1 入 侵 检 测 产品 选 购 要 点 


最 大 可 处 理 流量 ( 包 / 秒 ,pps) 一 般 分 为 百 兆 位 \ 千 兆 位 

反 躲 避 技 术 能 否 有 效 检测 分 片 .TTL 欺骗 .异常 TCP 分 段 . 慢 扫描 、 协 同 攻击 等 

产品 的 伸缩 性 系统 支持 的 传感器 数目 、 最 大 数据 库 规模 、 传 感 器 与 控制 台 之 间 的 通 
信和 带宽 和 对 审计 日 志 溢 出 的 处 理 

产品 支持 的 人 侵 特征 数 不 同 厂商 的 计算 方法 不 同 , 可 参照 国际 标准 

产品 的 响应 方法 从 本 地 、 远 程 等 多 角度 考察 ,是 否 支持 防火 墙 联动 

特征 库 升 级 及 维护 费用 特征 库 需 要 不 断 更 新 才能 检测 出 新 出 现 的 攻击 方法 

是 否 通过 了 国家 权威 机 构 的 | 权威 测评 机 构 有 国家 信息 安全 测评 认证 中 心 、 公 安 部 计算 机 信息 系 

评测 统 安全 产品 质量 监督 检验 中 心 

是 否 有 成 功 案例 了 解 产 品 的 成 功 应 用 案例 ,必要 时 可 进行 实地 考察 和 测试 使 用 

产品 的 价格 性 价 比 和 保护 系统 的 价值 是 更 重要 的 因素 


匡 作 任务 十 五 人 入侵 检 测 系统 IDS 的 部 署 与 配置 


市 面 上 的 入 侵 检测 产品 很 多 ,一 些 大 型 厂商 如 IBM、 思 科 、TippingPoint、Juniper 的 产 
品 , 国 内 厂商 如 启明 星辰 、. 绿 盟 科技 .天 融 信 、H3C 的 产品 都 是 不 错 的 选择 ,最 终 选择 何 种 产 
品 ,需要 用 户 视 自 己 的 实际 情况 而 定 。 


153 方案 设计 


方案 设计 如 表 15-2 所 示 。 


任务 名 称 


表 15-2 方案 设计 
入 侵 检测 系统 IDS 的 部 署 与 配置 


任务 分 解 


1. IDS 的 部 署 与 配置 

(1) 连接 及 登录 

(2) IDS 系统 设置 

2. IDS 入 侵 检测 规则 配置 

3. 基于 自 定义 规则 的 IDS 入 侵 检测 
(1) 基础 参数 设置 

(2) IP 参数 设置 

(3) ICMP 参数 设置 

(4) 阻 断 动作 设置 


能 力 目标 


.能 连接 并 登录 入侵 检测 系统 IDS 

.能 查看 系统 信息 

. 能 备份 系统 操作 

. 能 诊断 系统 配置 

.能 设置 人 侵 检测 系统 IDS 自 带 的 检测 规则 

.能 使 用 入 侵 检测 系统 IDS 根据 规则 检测 人 侵 行 为 

. 能 自 定义 人 侵 检 测 系统 IDS 的 检测 规则 

. 能 设置 基础 参数 .关键 字 、IP 参数 .TCP 参数 .ICMP 参数 和 阻 断 动作 
. 能 分 析 入 侵 检测 日 志 

10. 能 使 用 自 定义 规则 检测 入 侵 行 为 


加 oo r- 


知识 目标 


. 掌握 常见 人 侵 检测 系统 的 功能 

. 了 解 人 侵 检测 的 工作 原理 

. 了 解 人 侵 检 测 系统 的 分 类 
.了解 常见 人 侵 检 测 设备 

. 了 解 IDS 系统 自 带 规则 库 中 的 各 种 攻击 类 型 
- 了 解 自 定义 规则 内 各 参数 含义 

. 熟悉 人 侵 检 测 系统 与 防火 墙 的 区 别 

. 熟悉 人 侵 检 测 系统 与 系统 扫描 器 的 区 别 

. 掌握 人 侵 检测 系统 IDS 部 署 的 位 置 


素质 目标 


. 培养 吃苦 耐劳 实事求是 一丝不苟 的 工作 态度 
. 树立 较 强 的 安全 意识 

.培养 良好 的 职业 道德 

. 培养 分 析 能 力 和 应 变 能 力 

. 具有 可 持续 发 展 能 力 


reooonnomam own 上 
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154 任务 实施 


为 了 完成 本 工作 任务 ,又 细 分 为 以 下 3 个 子 任务 。 


15.4.1 任务 1: IDS 的 部 署 与 配置 
1. 任务 目标 


了 解 IDS 设备 的 连接 和 简单 设置 ; 掌握 IDS 关于 系统 配置 的 常用 功能 模块 ,包括 查看 


系统 信息 ,备份 系统 操作 和 诊断 系统 配置 等 。 
2; 工作 任务 
(1) 连接 及 登录 ; 
(2) IDS 系统 设置 。 


3. 工作 环境 
(1) 一 台 预 装 Windows Server 2003/XP 的 主机 。 
(2) 一 台 入 侵 检测 系统 IDS。 


4. 实施 过 程 
(1) 连接 及 登录 


单线 接 第 1 组 蓝 盾 IDS 设备 的 第 一 口 ,默认 IP 为 192. 
https://192.168.11.4; 第 2 组 蓝 盾 IDS 第 一 口 ,默认 IP 为 192. 
https://192.168.12.4; 第 3 组 蓝 盾 IDS 第 一 口 ,默认 IP 为 192. 
https://192.168.13.4; 第 4 组 蓝 盾 IDS 第 一 口 ,默认 IP 为 192. 
https://192.168.14.4; 第 5 组 蓝 盾 IDS 第 一 口 ,默认 IP 为 192. 
https://192.168.15.4; 第 6 组 蓝 盾 IDS 第 一 口 ,默认 IP 为 192. 
https://192.168.16.4; 第 7 组 蓝 盾 IDS 第 一 口 ,默认 IP 为 192. 
https://192.168.17.4; 第 8 组 蓝 盾 IDS 第 一 口 ,默认 IP 为 192. 


https://192.168. 18.4。 统 一 用 户 密码 为 admin/888888。 


168. 11. 
.4; 在 IE 输入 
.4; 在 下 输入 
.4; 在 IE 输入 
.4; 在 IE 输入 
.4; 在 IE 输入 
.4; 在 IE 输入 
.4; 在 IE 输入 


4, 在 IE 输入 


@ 配置 管理 口 IP , 单 击 * 网 络 配置 ”网 口 设置 "配置 LAN2 口 IP, 如 图 15-1 所 示 。 


中 国 蔓 夺 。 “NIDS 网 络 入 侵 检测 系统 


MEDON of hb 


Se: EERGR Ss10, HemAARSB ism. 


家 中 国 和 后 


eoon of HANI 


图 15-1 网 口 设置 


王 作 任务 十 五 入 侵 检测 系统 IDS 的 部 署 与 配置 


@ 配置 镜像 口 , 单 击 “ 网 络 设置 ">“ 镜 像 口 设置 ,为 LAN3 口 选 择 镜像 口 , 如 图 15-2 所 示 。 


15-2 镜像 口 设置 


@ 配置 IDS 的 管理 设置 ,因为 默认 只 有 第 一 口 能 够 访问 , 需 做 策略 ,让 LAN2 口 能 够 访 
问 管理 。 单 击 “ 系 统 ”>“ 管 理 设置 ”, 如 图 15-3 所 示 。 


be DO of CH 


骨 中 国 要 后 。 “NIDS 网 络 入 侵 检测 系统 中 国名 盾 与 全 


15-3 管理 设置 


(2) IDS 系统 设置 
Q 单 击 “ 系 统 ”>“ 系 统 信息 ”>“ 设 备 状态 ”进入 设备 状态 页 面 。 该 页 面 显示 系统 信息 、 
网 络 接口 信息 、 系 统 服务 等 ,如 图 15-4 所 示 。 


Type Utilization 网 口 P 地 址 stat RXbytes TXbytes 
Cpu(24%) Ta LAN1 19216851 昌 0 是 
Memory(1032828K)X(9%) i LAN2 192168228127 | 393699 393699 
Hard Disk(73GX1%) 外 Lan3 【9 

(01:09:11 up 17 min, 5 users, oad average: 
和 (0.04, 0.05. 0.06 一 了 


DHcp 服务 侠 Dhs 代 理 服务 9] 
SNMP 服务 已 WEB8 有 务 [9] 
在 务 服务 志 入 食性 列 服务 © 
日 志 服务 外 核心 应 用 © 
流 里 检测 服务 E23 © 
网 六 时 名 服务 龟 路 由 服务 © 


图 15-4 设备 状态 
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2 | 
sg 


参数 定义 : 

。 系统 信息 : 系统 CPU、 内 存 及 硬盘 的 实时 使 用 情况 。 

。 网 络 接口 信息 : 与 设备 相连 各 网 口 的 IP 地 址 ,以 及 数据 包 收 发 比特 数 。 

。 系统 服务 : 各 项 服务 是 否 打 开 。 罚 表示 此 服务 已 经 打开 ,六 表示 服务 未 打开 。 
四 单 击 “ 系 统 ”>“ 系 统 维 护 ”>“ 配 置 备份 "进入 备份 恢复 页 面 ,如 图 15-5 所 示 。 


系统 更 新 | 系统 时 间 | 关闭 系统 


2 条 记录 


20100408161125 | 
Bluedon-Defauk 20000101 000000 | 


[LL 上传 3 人 饶 复 ”| 


图 15-5 备份 恢复 


参数 定义 : 

。 制作 : 将 系统 已 做 好 的 策略 保存 下 来 ,备份 成 配置 文件 。 

。 上 传 : 将 下 载 到 本 地 的 配置 文件 上 传 到 设备 ,才能 选择 进行 故障 恢复 。 

。 下 载 : 将 配置 文件 下 载 到 本 地 机 器 上 ,防止 系统 意外 出 现 事故 ,是 一 种 防范 机 制 。 
。 恢 复 : 可 以 将 下 载 到 本 地 的 配置 文件 在 设备 出 现 故 障 时 上 传 到 设备 ,进行 恢复 。 
。 设 置 : 该 项 是 设置 设备 的 启动 服务 选项 ,一 般配 置 为 默认 。 

@ 单 击 " 系 统 ”>“ 系 统 维护 ”>“ 关 闭 系统 "关闭 设备 页 面 ,如 图 15-6 所 示 。 


备份 恢复 | 系 护 更 新 | 系统 时 间 


立即 执行 他 


zw 5 [5 和 国 


[02 [| [7 加 


重启 关闭 


15-6 关闭 系统 


。 立即 : 立即 执行 “重启 "和 “关闭 ”设备 。 

。 之 后 : 在 之 后 的 5 分钟 至 1 小 时 之 内 的 某 个 特定 时 间 “ 重 启 " 和 “关闭 ”设备 。 

。 定时 : 通过 设置 定时 时 间 ,能 在 当天 的 特定 时 间 * 重 启 ” 和 ”关闭 ?设备 。 

由 单 击 “ 系 统 ”>“ 系 统 工具 ”一 “配置 测试 "进入 测试 结果 页 面 ,如 图 15-7 所 示 。 该 页 
面 显示 对 系统 配置 的 诊断 ,以 便 检查 配置 情况 。 

加 单 击 “ 系 统 ”>“ 系 统 工具 ”>“IP 工具 ”, 该 页 面 用 于 测试 一 个 IP 或 者 主机 能 否 正常 
通信 , 如 图 15-8 所 示 。 

@ 输入 IP 地 址 ,然后 单 击 “ 执 行 ”按钮 ,结果 如 图 15-9 所 示 。 

@ 在 “工具 ”下 拉 列 表 中 选择 whois, 然 后 单 击 “ 执 行 ”按钮 ,结果 如 图 15-10 所 示 。 


TS KF dl 


IP 工 具 | 流量 分 析 


Tue Apr 27 11:23:42 2010 


测试 首选 DiiS 服 务 器 和 同 关 
可 以 ong 到 首选 DNs 服务 器 
可 以 png 到 备 选 DHS 服务 器 


解 折 域名 www gocge com 
检测 内 部 子 网 没有 重复 


检测 内 部 网 络 的 网 关 


图 15-7 配置 测试 结果 


尸 地 址 或 主机 名 |192 168 228 254 


CE 


的 环 汪 .168. 228.254 (192.165.228.254) 56(84) bytes of dat: 


from 192.168. 228. 254: icCnmp_-5eq=1 ttj=255 time=4.84 ms 
站 和 和 23 Eh od 
from 192-168.228, 254: 1emp-seq? tee25s timer3-14 ms 
from 192.168. 221 Tcmp_seq=4 tt]=255 time=3-14 ms 
Fron 132.168. 228. 254: J emp-s es Ft-253 tne oe 


e220 24 i etetidties 
5 packets transmitted, 5 rr acket 1055，time 4041ms 
Te mfr/avo/ na/mdes ,3.254 S93/ S87 mS 


15-9 IP 工具 运行 


Bw whois 3.4 by Bil] weinman (http://whois.ow.org/) 
Copyright 1999-2003 Wi11iam E. Weinman 
Request: 66.249.89.104 

unable to connect to whois.arin.net (111: Connection refused) 


图 15-10 IP 工 具 运 行 结果 
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15.4.2 任务 2: IDS 人 侵 检 测 规则 配置 


1. 任务 目标 

了 解 IDS 系统 自 带 检测 规则 库 中 的 各 种 攻击 类 型 ,初步 掌握 对 用 户 自 定义 规则 的 配 
置 。 本 实验 主要 介绍 IDS 自 带 的 检测 规则 库 及 用 户 自 定义 规则 的 配置 。IDS 的 检测 规则 、 
关联 规则 都 需要 根据 网 络 的 实际 情况 来 配置 。 当 出 现 人 侵 时 ,所 有 的 和 人 侵 行 为 数据 都 会 在 
IDS 服务 器 内 根据 规则 进行 检测 (捕获 、 拆 分 分析 、 匹 配 )。 


2. 工作 任务 

系统 自 带 检测 规则 设置 。 

3. 工作 环境 

(1) 一 台 预 装 Windows Server 2003/XP 的 主机 。 

(2) 一 台 入 侵 检 测 系统 IDS。 

4. 实施 过 程 

(1) 单 击 “* 入 侵 检测 ”>“ 检 测 规则 ”, 该 页 面 显示 所 有 IDS 系统 自 带 检测 规则 ,用 户 可 以 
查看 已 经 色 选 的 规则 库 ,或 选择 规则 库 。 系 统 会 定时 自动 下 载 . 更 新 规则 库 ,使 用 户 得 到 及 
时 的 保护 。 用 户 也 可 上 传 自 定义 补丁 更 新 规则 库 , 如 图 15-11 所 示 。 


现 有 规 MW: 。 8257 | 


启动 如 下 入 仿 检 到 规则 : 
windows 系 统 最 油 : 
国 netbios: 针对 Windows 系 统 电 疝 的 攻击 。 


其 他 攻击 类 型 : 

回 attack-responses: 针对 伪造 FP 台 可 妖 主 机 数据 包 检测 。 

DD bad-traftfic: 针对 可 和 网络 流 各 的 检测 。 

© exploit 不 常见 的 非 主流 操作 系统 掀 则 欢 击 方式 。 可 不 必 筷 选 如 果 使 用 Wndows,"nix 主 流 操作 系统 。 

mise: 社 对 高 邹 程 序 、 高 危 应 用 的 区 击 。 如 : W 即 时 通信 、cVS 版 本 控制 、ADILDAP 服 务 器 等 。 建 议 勾 寺 此 项 。 
国 muimedia: 针对 audiovideo 等 多 媒体 应 用 的 攻击 。 | 
7] otherids: 针对 Ds 系 统 8 攻击 或 选 避 手 段 * 


同 porm 针对 访问 色情 或 非法 网 站 的 检测 。 

tt 射 对 UNK Xserver 晤 和 攻击。 如 果 内 部 没有 Un 服务 器 及 X-Server 服 务 ， 不 必 勾 选 。 

即时 通信 (IM); 

ehat: 畦 对 即时 通信 工具 《MSN, Yahoo M, aQ, IcQ, RC 等 ) 的 攻击 。 | 


15-11 “检测 规则 ”窗口 


建议 只 勾 选 必要 的 选择 ,以 提高 检测 的 速率 和 性 能 。 例 如 ,如 果 内 部 网 络 中 没有 数据 库 
服务 器 , 则 不 必 勾 选 数据 库 选 项 下 的 规则 库 。 一 般 情况 下 , 勾 选 的 规则 越 多 ,对 进 、 出 数据 包 
的 检测 匹配 耗 时 越 长 ,降低 了 IDS 设备 处 理性 能 。 

(2) 单 击 “* 入 侵 检测 ”> “检测 规则 ”>“ 规 则 设置 ”, 将 分 类 罗列 已 有 规则 及 其 危害 等 级 ， 
并 可 对 各 规则 进行 编辑 ,选择 对 违反 该 规则 的 行为 警报 (Alert) 、 通 过 (Pass) ,或 者 拒绝 
(Reject), 如 图 15-12 所 示 。 


(3) 单 击 * 入 侵 检 测 ”>“ 检 测 规则 ”>“ 自 定义 规则 ”, 让 用 户 自行 定义 入 侵 检 测 规则 ， 


壬 作 任 务 十 五 入 侵 检 测 系 统 IDS 的 部 署 与 配置 


编辑 
(GD=1 SID=1225) (X11 MT Magic Cookie detected) map LogM] An 编辑 


(GD=1 SD=1226) (X11 xopen) Repass] Leo] wer 编辑 
四 即时 通信 IM) 
口 数据 库 


图 15-12 “规则 设置 "窗口 


如 图 15-13 一 图 15-19 所 示 。 


Foooooz 


tcp ~ 添加 
协议 


2 ~ alert 注 癌 : 
192 168 228.1 源 庙 口 ; 
[192.168.228.254 目标 庙 口 : 


图 15-13 “基础 参数 ”配置 


参数 定义 : 


报警 信息 : 指 触 发 该 检测 事件 时 ,报警 的 内 容 。 


sid: 指 事件 的 编号 。 为 避免 与 系统 自 带 规则 库 的 事件 编号 有 冲突 ,请 使 用 1000001 


始 的 编号 。 
入 侵 类 型 : 对 入 侵 事 件 的 归 类 ,请 选择 最 接近 的 归 类 。 
协议 : 对 入 侵 数 据 流 的 协议 定义 。 


基础 参数 : 对 该 事件 的 基础 数据 描述 ,如 报警 级 别 . 采 取 动 作 、 流 向 ( 单 向 (single)、 
双向 (double))、 源 地 址 、 源 端口 .目标 地 址 、 目 标 端口 等 与 协议 无 关 的 基础 参数 。 
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报警 信息 : 
入 侵 类 型 : 


参数 定义 ， 


。 内容 关键 字 : 定义 人 侵 数 据 流 中 的 特征 码 , 以 更 准确 地 判断 出 入 侵 行 为 。 


|seqing [+000005 


3 入 tcp ~ 添加 
kickass-pom 协议 


加 


内 容 关 键 字 : |sexy eroticism 
depth 45555 


5634 rawbytes 团 


15-14 “内 容 关 键 字 ”配置 


。 offset: content 选项 的 修饰 符 , 设 定 开始 搜索 的 位 置 。 

。 depth: content 选项 的 修饰 符 , 设 定 搜索 的 最 大 深度 。 

。 distance: 使 用 content 时 ,模式 匹配 间 至 少 有 NN 个 字 节 存在 。 

。 within: 使 用 content 时 ,模式 匹配 间 最 多 有 N 个 字 节 存在 。 

。 rawbytes: 允许 规则 查看 Telnet 解码 数据 来 处 理 不 常见 的 数据 。 


报警 信息 : 


参数 定义 : 


。IP 参数 : 如 果 在 “协议 ?项 目 选择 了 IP 协议 ,可 以 在 这 里 设 定 关于 该 事件 更 具体 的 


IP 参数 。 


JP sos [1000008 


tcp ”添加 
协议 


回 


甘 王 | [ 关 大计 | IPs 站 |[TcP 名 效 [ICMP 台数 | [ -两 本 动 下 ] 


> ~|356 <> |568 


= 890 ‘os: |] 这 加 


团 strict source routing > tragbas: 团 dontfragment ~ 


15-15 “IP 参数 ”配置 (1) 


dsize: 检查 包 的 数据 部 分 大 小 。 


。ttl: 检查 IP 头 的 TTL 的 值 。 


tos: 检查 IP 头 的 TOS 域 的 值 。 


。id: 检查 IP 头 的 分 片 ID 值 。 
。 ipopts: 检查 IP 头 的 Option 域 。 


fragbits: 检查 IP 头 的 分 片 标志 位 。 
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ETTITETESTIEEATESTT | 


scout E 1000010 


attempted-recon 议 : tcp 添加 协议 


回 
国 [894 ackc 回 [| | 
如 tn 回 syn 加 rst 国 push 园 ack 


加 Reserved bt1 ]Reservedbt2 。” 园 Wo TCP Flags Set 
四 


图 15-16 “TCP 参数 ”配置 


参数 定义 : 

。 TCP 参数 : 如 果 在 “协议 "项目 选择 了 TCP 协议 ,可 以 在 这 里 设 定 关于 该 事件 更 具 
体 的 TCP 参数。 

。 seq: 检查 TCP 顺序 号 的 值 。 

。 ack: 检查 TCP 应 答 (Acknowledgement) 的 值 。 

。 window: 检查 Window 的 值 。 

。 flags: 检查 TCP Flags 的 值 。 

。fin: 检查 FIN 的 值 。 

。 syn 检查 SYN 的 值 。 

。 rst: 检查 RST 的 值 。 


iemp sos 1000013 
icmp-event - 议 : tcp 添加 协议 
园 


一 


15-17 “ICMP 参数 ”配置 (1) 


参数 定义 : 

。 ICMP 参数 : 如 果 在 “协议 ”项 目 选 择 了 ICMP 协议 ,可 以 在 这 里 设 定 关于 该 事件 的 
更 具体 的 ICMP 参数 。 

。 id: 检查 ICMP Echo ID 的 值 。 

。 seq: 检查 ICMP Echo 顺序 号 的 值 。 

。 itype: 检查 ICMP Type 的 值 。 

。 icode: 检查 ICMP Code 的 值 。 
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cmp cut [oooo1s 


ys tcp 添加 
nt . cp ~ 添 
icmp-evei es 


图 15-18 “ 阻 断 动 作 ” 配 置 (1) 


参数 定义 ， 

。 阻 断 动作 : 对 此 入 侵 事件 采取 阻 断 动作 。 

。 断 开 TCP: rest dest 是 向 发 送 方 发 送 TCP-RST 数据 包 ,reset source 是 向 接收 方 发 
送 TCP-RST 数据 包 ,reset both 是 向 收发 双方 发 送 TCP_RST 数据 包 。 

。 断 开 HTTP: block 是 关闭 连接 并 且 发 送 一 个 通知 ,warm 是 发 送 明显 的 警告 信息 ， 
msg 是 把 MSG 选项 的 内 容 包 含 进 阻塞 通知 信息 中 。 

。 断 开 ICMP: icmp net 是 向 发 送 方 发 送 ICMP_NET_UNREACH ,icmp host 是 向 发 
送 方 发 送 ICMP_HOST_UNREACH,icmp port 是 向 发 送 方 发 送 ICMP_PORT_ 
UNREACH ,icmp all 是 向 发 送 方 发 送 上 述 所 有 的 ICMP 数据 包 。 


售 沉 向 内容 关键 字 


15-19 启动 规则 


(4) 单 击 * 入 侵 检测 ”>“ 检 测 规则 ”一 “统计 规则 ”。 统 计 规 则 指 的 是 对 一 段 时 间 内 重复 
出 现 的 低级 别 事件 进行 统计 综合 报警 ,这 样 可 以 减少 不 必要 的 报警 次 数 。 比 如 ,对 于 
“ICMP Windows PING? 事 件 , 如 果 需 要 在 60s 内 重复 出 现 10 次 才 报警 ,配置 如 图 15-20 
所 示 。 


ETTITETEETIETSZT 


sid: {人潮 词 ) 
Srclp ~ 方式 : 
10 时 间 跨 度 修 ): 


[0 times Windows PING in 60 seconds 


图 15-20 “统计 规则 ”配置 
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其 中 ,GID 和 SID 可 以 通过 查询 得 到 。 
15.4.3 任务 3: 基于 自 定 义 规则 的 IDS 人 侵 检测 


1. 任务 目标 

了 解 自 定义 规则 内 各 参数 的 含义 ; 掌握 分 析 入 侵 检 测 日 志 的 方法 ; 根据 实际 需要 ,多 
许 有 经 验 的 高 级 用 户 自 定义 入侵 规则 。 

本 实验 主要 介绍 IDS 系统 的 自 定义 检测 规则 的 配置 方式 ,包括 对 基础 参数 .关键 字 、IP 
参数 .TCP 参数 .ICMP 参数 和 阻 断 动作 的 介绍 及 设置 。 通 过 实验 ,能 更 清楚 地 了 解 规则 制 
定 、 入 侵 检测 过 程 事 件 记 录 、 处 理 入 侵 的 一 系列 过 程 。 自 定义 规则 使 得 规则 的 制定 有 更 大 
的 扩展 性 和 自由 性 ,但 对 用 户 的 操作 水 平 有 更 高 的 要 求 。 

2; 工作 任务 

(1) 基础 参数 设置 ; 

(2) IP 参数 设置 ; 

(3) ICMP 参数 设置 ; 

(4) 阻 断 动作 设置 。 

3. 工作 环境 

(1) 一 台 预 装 Windows Server 2003/XP 的 主机 。 

(2) 一 台 入 侵 检测 系统 IDS 。 


4, 实施 过 程 
单 击 “* 入 侵 规 则 ”一 “检测 规则 ”, 启 动 入 侵 检 测 规 则 ,然后 勾 选 自 定义 规则 ,再 单 击 “ 保 
存 ” 按 钮 ,如 图 15-21 所 示 。 


了 前 | 规则 设置 | | 自 定义 规则 ] | 统计 规则 
RE 2 


启动 如 下 入 侵 检 到 规则 : 一 
Windows 系 统 量 洞 : 
netbios: 针对 Windows 系 统 映 3 攻击 。 


自 定义 规则 :_ 


[ 栈 ] ET 


图 15-21 “ 自 定义 规则 ”配置 


(1) 基础 参数 设置 

@ 单 击 * 入 侵 规 则 ”一 “检测 规则 ”>“ 自 定义 规则 ”一 “基础 参数 ”, 配 置 如 图 15-22 所 示 。 

@ 从 下 拉 列 表 中 选择 TCP 协议 后 , 单 击 “ 启 用 ”。 然 后 单 击 * 添 加 ?按钮 ,得 到 一 条 针对 
所 有 未 知人 侵 的 检测 规则 Intrusion_Info, 如 图 15-23 所 示 。 

@ 单 击 “报表 日 志 ”~* 系 统 日 志 ”~* 人 侵 检 测 日 志 ”。 扫 描 是 最 常见 的 入侵 行 为 之 一 。 
当 扫 描 操 作 发 生 时 ,Intrusion_Info 日 志 会 实时 记录 下 这 一 入 侵 行 为 ,以 供用 户 做 出 相应 的 
防范 。 
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ntrusion_Info 


bad-unknown 


113478 
tcp Y 添加 
协议 


3 ~ 


192 168.228.126 


192 168.228.130 


图 15-22 


1113478 3 alert 
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“基础 参数 ”配置 


bad-unknown tcpdouble 


图 15-23 ”添加 规则 


(2) IP 参数 设置 


Q 单 击 * 入 侵 规 则 ”一 “检测 规则 ”一 “ 自 定义 规则 ”>“IP 参数 ”, 参 照 图 15-24 填 人 要 检 
测 的 项 。 在 ttl 项 填 人 “64” 作 为 参考 值 , 选 择 * 启 用 ”, 然 后 单 击 * 添 加 ?按钮 ,如 图 15-24 所 


示 , 得 到 一 条 名 称 为 IP_info 的 检测 规则 ,如 图 15-25 所 示 。 


liP_info 


bad-unknown 


111188 


dsize: 


到 |64 tos: 


回 any options set 


图 15-24 


一 一 
到 别 作 


1111188 3 alert 


-mrT 

a « a 
fregbits 加 resevedbit ~ 
“IP 参数 ”配置 (2) 


bad-unknown tcp double 


图 15-25 


IP_Info 检测 规则 
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@ 单 击 “ 报 表 日 志 ” 一 “系统 日 志 ”>“ 入 侵 检测 日 志 ”, 当 满足 检测 规则 的 操作 发 生 时 ， 
IP_info 日 志 就 记录 下 该 行为 。 

(3) ICMP 参数 设置 

a 单 击 “ 入 侵 规 则 ”一 “检测 规则 ”>“ 自 定义 规则 ”一 “ICMP 参数 ”, 参 照 图 15-26 填 入 
要 检测 的 项 。 这 里 直接 启用 检测 ICMP 项 来 检测 ping 工具 ,选择 “启用 ”, 青 单 击 “ 添 加 ” 按 
钮 ,如 图 15-26 所 示 ,得 到 一 条 名 称 为 ICMP_info 的 检测 规则 ,如 图 15-27 所 示 。 


Suan | mas tam] | 


Fe heMP _info sd [1111347 


协议 。 icp 了 汪 吉 


启用 : 贺 


EE 


ICMP 参数 : 


报 动 
到 | 出 | 作 


1111347 3 alert 


图 15-27 ICMP_Info 检测 规则 
@ 单 击 “ 报 表 日 志 ”- 系 统 日 志和 人 侵 检测 日 志 ?”。ping 操作 时 ,记录 下 来 名 称 为 
ICMP _info 的 日 志 , 如 图 15-28 所 示 。 
入 侵 检测 日 志 : 


<<1>>> 
时 间 : 。 114440 。 名称: 
3-low risk 种 类 : Potentaly 6adTraffic 
Pp: 


192.168.228.126 -> 192.168.228.130 ( 0:C-29:7A-A1-29 -> 0:7:EE:0:20:8C ) 


时 亲 闻 


me 
时 间 : 。 114440 名称: [cup_info GD=1 SD=1111 
3-low risk 种 类 : 。 Potentialy Bad Traffic 
PP: 192 168 228.130 -> 192 168 228.126 ( 0.7:EE:0:20:6C -> 0C297A:A129) 


昧 六 


me 


<<<1>>> 


图 15-28 入 侵 检测 日 志 (1) 


(4) 阻 断 动作 设置 
Qz 单 击 “ 入 侵 规 则 ”一 “检测 规则 ”>“ 自 定义 规则 ”>“ 阻 断 动 作 ”, 参 照 图 15-29 所 示 填 


入 所 要 检测 的 项 。 这 里 选择 “ 断 开 ICMP”, 得 到 一 条 名 称 为 Cutoff_Info 的 检测 规则 ,如 
图 15-30 所 示 。 


269 


270”。 网 络 安全 部 署 
EE 


检测 规则 | | 规则 设 轩 | 站。 用 | 统计 规 m | | 
| : [Cutor mm [aso 


bad-unknown 议 : cmp ”添加 
协议 


贺 


阻 断 动作 


reset source ©] reset both 
加 mso 


回 cmppot 。 国 erpan 


饭 动 
59 | 别 | 作 


Cutoff nfo 1111490 3 alert 


EE 


15-30 ”Cutoff_Info 检测 规则 


@ 单 击 “ 报 表 日 志 ”>“ 系 统 日 志 *>“ 入 侵 检 测 日 志 ”"。 当 在 系统 中 执行 阻 断 操作 时 ,会 
记录 下 名 称 为 Cutoff_Info 的 日 志 , 如 图 15-31 所 示 。 
入 侵 检测 日 志 : 
TREE 
级 别 3-low risk 种 类 : Polentaly Bed Trarie 
动作 Pp: 192 168 228.126 -> 192.168.228.130 ( 0:C:29:7A-A1-29 -> 0:7:EE:0-20:6C ) 
参考 : na 


时 间 : 。 115034 名称: toff_nfo GD=1 SD=1111490 

级 别 3-low risk 种 类 : Potentially Bad Traffic 

动作 ps 192 168.228.130 -> 192 168 228.126 ( 0.7:EE:0:20:6C -> 0C297AA129) 
瑚 考 : na 


15-31 人 侵 检测 日 志 (2) 


155 常见 问题 解答 


1. 入 侵 检测 系统 IDS 与 防火 墙 有 什么 不 同 ? 

答 : 如 果 把 防火 墙 比 作 一 栋 大 楼 的 门 锁 , 那 么 人 侵 检测 系统 IDS 就 是 这 栋 大 楼 里 的 监 
视 系统 。 一 旦 有 小 偷 仆 窗 进 入 大 楼 或 者 内 部 人 员 有 越界 行为 ,只 有 实时 监控 系统 才能 发 现 
情况 并 发 出 警告 。 通 过 在 网 络 中 安装 防火 墙 ,可 以 阻挡 一 般 性 的 网 络 攻击 行为 ; 采用 入 侵 
检测 系统 IDS, 可 以 对 越过 防火 墙 的 攻击 行为 ,以 及 来 自 网 络 内 部 的 违规 操作 进行 检测 和 响 
应 ,相当 于 为 网 络 提供 第 二 道 保 护 机 制 。 入 侵 检 测 系统 多 安装 在 防火 墙 之 后 ,对 网 络 活动 进 
行 实时 检测 。 在 多 数 情况 下 ,由 于 可 以 记录 和 禁止 网 络 活动 ,所 以 人 侵 检测 系统 是 防火 墙 的 
延续 ,可 以 和 防火 墙 以 及 路 由 器 配合 工作 。 
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2. 入 侵 检测 系统 IDS 与 系统 扫描 器 有 何不 同 ? 

答 : 系统 扫描 器 是 根据 攻击 特征 数据 库 来 扫描 系统 漏洞 , 它 更 关注 配置 上 的 漏洞 ,而 不 
是 实时 进出 主机 的 流量 。 在 遭受 攻击 的 主机 上 ,即使 正在 运行 扫描 程序 ,也 无 法 识别 这 种 攻 
击 。IDS 扫描 当前 网 络 的 活动 ,监视 和 记录 网 络 流量 ,根据 定义 好 的 规则 过 滤 从 主机 网 卡 到 
网 线 上 的 流量 ,提供 实时 报警 。 系 统 扫描 器 只 检测 主机 上 先前 设置 的 漏洞 ,而 IDS 监视 和 
记录 网 络 流量 。 如 果 在 一 台 主 机 上 运行 IDS 和 扫描 器 ,配置 合理 的 IDS, 会 发 出 很 多 警报 。 

3. 入 侵 检 测 系 统 IDS 与 人 侵 防 御 系 统 IPS 有 何不 同 ? 

答 : 入侵 防御 系统 与 人 侵 检测 系统 有 些 类 似 , 但 是 IPS 一 般 是 立刻 采取 行动 阻止 威胁 ， 
例如 及 时 阻止 某 个 IP 地 址 或 用 户 的 访问 ,而 不 仅仅 是 简单 地 发 出 警报 。IDS 是 被 动 采 取 行 
动 ,IPS 是 主动 响应 系统 。 

4. 人 侵 检测 系统 IDS 部 署 的 位 置 在 哪里 ? 

答 : 入 侵 检测 系统 IDS 应 当 挂 接 在 所 有 关注 流量 都 必须 流 经 的 链 路 上 。 关 注 的 流量 包 
括 来 自 高 危 网 络 区 域 的 访问 流量 和 需要 进行 统计 ,监视 的 网 络 报 文 。 因 此 ,IDS 在 交换 式 网 
络 中 的 位 置 一 般 选 择 为 尽 可 能 靠近 攻击 源 , 尽 可 能 靠近 受 保护 资源 ,通常 连接 在 服务 器 区 域 
交换 机 上 ,或 者 在 重点 保护 网 段 的 局 域 网 交换 机 上 。 
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选择 题 
1. 以 下 关于 入 侵 检测 系统 的 描述 中 ,错误 的 是 ( 全 
A. 入 侵 检 测 是 一 种 主动 保护 网 络 免 受 攻击 的 安全 技术 
B. 入 侵 检测 是 一 种 被 动 保护 网 络 免 受 攻击 的 安全 技术 
C. 人 侵 检测 系统 能 够 对 网 络 活动 进行 监视 
D. 入 侵 检测 能 简化 管理 员 的 工作 ,保证 网 络 安全 运行 
2. 按照 检测 数据 的 来 源 , 可 将 和 人 侵 检测 系统 (IDS) 分 为 ( a 
. 基于 主机 的 IDS 和 基于 网 络 的 IDS 
.基于 主机 的 IDS 和 基于 域 控制 器 的 IDS 
.基于 服务 器 的 IDS 和 基于 域 控制 器 的 IDS 
.基于 浏览 器 的 IDS 和 基于 网 络 的 IDS 
) 不 属于 将 入 侵 检测 系统 部 署 在 DMZ 中 的 优点 。 
. 可 以 查 到 受 保护 区 域 主机 被 攻击 的 状态 
.可 以 检测 防火 墙 系统 的 策略 配置 是 否 合理 
. 可 以 检测 DMZ 被 黑客 攻击 的 重点 
.可 以 审计 来 自 Internet 上 对 受到 保护 网 络 的 攻击 类 型 
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工作 任务 十 六 
“”VPN 服 务 器 的 配置 与 管理 
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很 多 企业 采用 了 网 络 防 火 墙 来 加 强 安全 措施 ,但 是 防火 墙 不 容易 做 到 数据 加 密 、 用 户 认 证 
等 。 有些 系 统 采用 软件 加 密 , 但 软件 加 密会 消耗 大 量 用 户 服务 器 的 资源 ,影响 系统 的 响应 速 
度 。 由 于 VPN 比 租用 专线 更 加 便宜 、 灵 活 ,所 以 有 越 来 越 多 的 公司 采用 VPN, 连 接 在 家 工作 
和 出 差 在 外 的 员工 ,以 及 替代 连接 分 公司 和 合作 伙伴 的 标准 广域网 。VPN 建 在 互联 网 的 公共 
网 络 架 构 上 ,通过 “隧道 ”协议 ,在 发 送 端 加 密 数据 ,在 接收 端 解密 数据 ,以 保证 数据 的 私密 性 。 
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16.2.1 VPN 的 功能 


VPN(Virtual Private Network ,虚拟 专用 网 ) 可 以 实现 不 同 网 络 的 组 件 与 资源 之 间 的 
相互 连接 。 虚 拟 专用 网 能 够 利用 Internet 或 其 他 公共 互联 网 络 的 基础 设施 为 用 户 创建 隧 
道 ,并 提供 与 专用 网 络 一 样 的 安全 和 功能 保障 。 虚 拟 专 用 网 允许 远程 通信 ,出 差 人 员 或 企业 
分 支 机 构 可 以 使 用 Internet 等 公共 互联 网 络 的 路 由 基础 设施 以 安全 的 方式 与 位 于 企业 局 域 
网 内 的 企业 服务 器 建立 连接 。 虚 拟 专 用 网 络 对 用 户 端 透明 ,用 户 就 像 使 用 一 条 专用 线路 在 
客户 计算 机 和 企业 服务 器 之 间 建 立 点 对 点 连接 ,进行 数据 的 传输 ,并 且 数 据 进行 了 加 密 处 
理 , 保 护 了 数据 的 机 密 性 及 完整 性 。 目 前 ,VPN 主要 采用 隧道 技术 (Tunneling) 、 加 /解密 技 
术 (Encryption/Decryption) 、 密 钥 管理 技术 (Key Management)、 使 用 者 与 设备 身份 认证 技 
术 (Authentication) 来 保证 内 部 数据 通过 Internet 安全 传输 。 

VPN 的 技术 优势 如 下 : 

(1) 安全 性 。VPN 利用 隧道 技术 对 原 有 协议 重新 封装 ,并 提供 加 密 、 数 据 验 证 ,用 户 验 
证 等 一 系列 安全 防护 措施 ,保证 了 数据 通过 不 安全 的 公共 网 络 得 到 安全 的 传输 。 

(2) 经 济 性 。 与 专线 技术 相 比 ,VPN 技术 降低 了 费用 ,在 原 有 网 络 连 接 的 条 件 下 提供 
了 比 专线 技术 更 安全 的 数据 保护 机 制 。 

(3) 扩展 性 。 与 专线 技术 相 比 ,VPN 技术 通过 在 用 户 端的 配置 就 可 以 灵活 地 扩展 ,不 
需要 新 的 申请 或 投入 。 


16.2.2 VPN 的 分 类 


1. VPN 的 应 用 分 类 
(1) 远程 接 人 VPN 应 用 模式 : 远程 接 人 VPN ,实现 出 差 员 工 或 家 庭 办 公 应 用 等 移动 用 
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户 安全 访问 企业 网 络 的 应 用 。 

(2) Intranet VPN 应 用 模式 : Intranet VPN 用 于 跨 地 区 的 企业 总 部 与 分 支 机 构 内 部 网 
络 的 安全 互联 。 

(3) Extranet VPN 应 用 模式 : Extranet VPN 用 于 企业 与 客户 ,合作 伙伴 之 间 建 立 安全 
的 网 络 互联 。 


2. VPN 网 络 结构 的 分 类 

(1) VPN 的 远程 访问 结构 : 用 于 提供 远程 移动 用 户 对 企业 内 部 网 络 资源 的 安全 访问 ， 
即 Access VPN。 单 机 通过 公共 网 络 利用 隧道 技术 连接 到 企业 网 络 , 成 为 网 络 中 的 一 个 连 
接点 ,这 种 结构 又 称 为 点 到 站 点 、 桌 面 到 网 络 结构 。 

(2) VPN 的 网 络 互联 结构 : 用 于 企业 总 部 网 络 和 分 支 机 构 网 络 的 内 部 网 络 之 间 的 安全 
互联 , 即 Intranet VPN 或 Extranet VPN。 保护 网 络 互联 时 在 公共 网 络 传输 过 程 中 的 数据 
安全 ,同时 防止 非法 访问 内 部 网 络 资源 。 这 是 一 种 网 络 到 网 络 ,也 称 为 站 点 到 站 点 的 结构 。 

(3) VPN 的 点 对 点 通信 结构 : 用 于 企业 内 部 网 的 两 台 主机 之 间 的 安全 通信 , 即 单机 到 
单机 结构 。 


3, VPN 所 采用 的 隧道 协议 

从 VPN 采用 的 隧道 协议 所 处 的 网 络 层次 来 看 ,PPTP、L2P 和 L2TP 等 VPN 协议 工作 
在 TCP/IP 协议 簇 的 第 二 层 ( 数 据 链 路 层 ) ,IPSec、GRE 等 协议 工作 在 TCP/IP 协议 簇 的 第 
三 层 ( 网 络 层 ) ,SSL/TLS VPN 协议 工作 在 TCP/IP 协议 簇 的 第 四 层 ( 传 输 层 ), MPLS 协议 
跨越 第 二 层 和 第 三 层 。L2TP IPSec 是 第 二 层 和 第 三 层 配合 的 隧道 协议 。 

4, VPN 接 入 方式 分 类 

一 般 的 企业 都 有 自己 的 局 域 网 络 , 多 是 通过 光纤 连接 到 互联 网 。 对 于 单个 出 差 用 户 或 
家 庭 用 户 ,是 通过 拨号 (如 ADSL) 连 接 到 ISP, 这 种 方式 建立 的 VPN 称 为 拨号 接 人 VPN， 
也 称 为 VPDN。 在 路 由 器 上 ,用 vpdn enable 命令 启用 VPDN 功能 。 


16.2.3 VPN 典型 协议 


1. SSL VPN 

SSL VPN 是 一 种 新 兴 的 应 用 层 VPN 技术 。SSL 协议 定义 了 完整 的 安全 机 制 ,对 用 户 
数据 的 完整 性 和 私密 性 都 有 完善 的 保护 。 常 见 SSL VPN 网 关 提 供 了 四 种 SSL VPN 接 入 
方式 以 适应 不 同 用 户 需求 ,包括 Web 转发 方式 .端口 转发 方式 ,文件 共享 方式 和 全 网 接 人 方 
式 , 其 接 人 功能 分 别 由 不 同 的 功能 模块 完成 ,同时 具备 强大 的 访问 控制 .权限 管理 、 细 粒度 审 
计 和 日 志 记录 等 功能 。 

2. IPSec VPN 

IPSec(IP 安全 协议 ) 是 由 IETF 制定 的 ,在 网 络 层 提供 安全 的 一 组 协议 ,用 于 保证 数据 
报 在 网 络 上 传输 时 的 私有 性 、 完 整 性 真实 性 和 防 重 放 。 

(1) 私有 性 (Confidentiality) : 在 传输 数据 包 之 前 将 其 加 密 , 以 保证 数据 的 私有 性 。 

(2) 完整 性 (Integrity): 在 目的 地 验证 数据 包 , 以 保证 数据 包 在 传输 过 程 中 没有 被 
修改 。 
(3) 真实 性 (Authentication) : 验证 数据 源 , 以 保证 数据 来 自 真实 的 发 送 者 。 
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(4) 防 重 放 (Anti-replay) : 防止 恶意 用 户 通过 重复 发 送 捕获 到 的 数据 包 所 进行 的 攻击 ， 
即 接收 方 会 拒绝 旧 的 或 重复 的 数据 包 。 

IPSec 安全 体系 结构 包括 AH( 身 份 认 证 头 ) 协 议 .ESP( 封 装 安全 负载 ) 协 议和 ISAKMP 
( 密 钥 管理 ) 协 议 。 其 中 ,AH 协议 提供 了 源 身 份 认证 和 数据 完整 性 ,但 是 没有 提供 保密 性 ; 
ESP 协议 提供 了 数据 完整 性 、 身 份 认 证 和 保密 性 ; ISAKMP 协议 提供 双方 交流 时 的 共享 安 
全 信息 。 

IPSec 主要 有 传输 模式 和 隧道 模式 两 种 工作 模式 。 其 中 ,传输 模式 是 系统 默认 的 IPSec 
工作 模式 ,主要 应 用 于 两 台 主机 之 间 ( 即 端 对 端 之 间 ) 数 据 安全 通信 的 场合 ,此 时 AH 头 或 
ESP 头 被 插入 在 原始 IP 头 和 传输 层 报头 (TCP 头 或 UDP 头 ) 之 间 。 隧 道 模式 主要 应 用 于 
两 个 网 络 之 间 进 行 数 据 安 全 通信 的 场合 。 例 如 ,将 两 台 路 由 器 (或 网 关 、 防 火 墙 等 ) 分 别 指派 
为 隧道 终结 点 ,此 时 整个 原始 IP 包 被 封装 在 一 个 新 的 IP 包 中 ,并 在 新 IP 头 和 原始 IP 头 之 
间 插入 AH 头 或 ESP 头 。 

IPSec 的 密 钥 管理 包括 密 钥 的 确定 和 分 发 。IPSec 支持 手动 密 钥 分 配 和 自动 密 钥 分 配 
两 种 管理 方式 。 手 动 密码 分 配方 式 的 优点 是 简单 ,缺点 是 安全 性 较 低 ; 自动 密 钥 分 配 的 优 
点 是 安全 性 较 高 ,缺点 是 算法 实现 、 密 钥 管 理 等 较 复杂 。Windows Server 2003 系统 默认 
IPSec 安全 策略 包含 客户 端 ( 仅 响 应 )、 服 务 器 (请 求 安全 ) 和 安全 服务 器 三 种 。 但 在 某 台 计 
算 机 上 ,最 多 只 能 指派 一 条 IPSec 策略 。 在 CMD 窗口 中 ,启动 IPSec 服务 的 命令 是 net 
start policyagent。 若 要 使 用 “IP 安全 监视 器 ”控制 台 查 看 IPSec 策略 指派 情况 ,必须 在 MMC 
管理 单元 中 进行 相关 操作 。 一 条 IPSec 安全 策略 的 基本 组 件 包括 : 要 匹配 的 通信 类 型 , 当 通 信 
匹配 时 做 些 什么 ,隧道 或 传输 模式 的 选择 ,身份 验证 方法 和 规则 应 用 于 哪 种 连接 类 型 。 

源 主机 在 向 目标 主机 发 送 安全 数据 报 之 前 ,需要 先 握手 并 建立 网 络 层 逻 辑 连接 。 该 逻 
辑 通 道 称 为 安全 协议 (SA)。SA 是 IPSec 的 基础 ,也 是 IPSec 的 本 质 。SA 是 通信 对 等 体 间 
的 约定 ,例如 使 用 哪 种 协议 (AH、ESP, 还 是 两 者 结合 ) .协议 的 操作 模式 (传输 模式 还 是 隧道 
模式 ) .加 密 算法 (DES 等 ) .特定 流 中 保护 数据 的 共享 密 钥 及 密 钥 的 生存 周期 。SA 定义 的 
逻辑 连接 是 一 个 单 工 连接 , 即 连 接 是 单 向 的 。SA 唯一 定义 为 一 个 三 元 组 ,包括 安全 协议 
(AH 或 ESP) 标 识 符 、 单 工 连接 的 源 IP 地 址 和 称 为 安全 参数 索引 (SPI) 的 32 位 连接 标识 
符 。AH 头 在 原 有 IP 数据 包 数 据 (TCP 或 UDP 段 ) 和 原 IP 头 之 间 。 对 于 IP 数据 报头 的 协 
议 字段 , 值 50 表明 数据 报 包含 ESP 头 和 ESP 尾 , 值 51 表明 数据 报 包 含 AH 头 。 


3. PPTP 和 L2TP 

点 对 点 隧道 协议 (PPTP) 是 一 种 网 络 协议 , 它 通 过 跨越 基于 TCP/IP 的 数据 网 络 创建 
VPN, 实 现 了 从 远程 客户 端 到 专用 企业 服务 器 之 间 数 据 的 安全 传输 。PPTP 支持 通过 公共 
网 络 ( 如 Internet) 建 立 按 需 的 、 多 协议 的 虚拟 专用 网 络 。PPTP 允许 加 密 IP 通信 ,然后 在 要 
跨越 公司 IP 网 络 或 公众 IP 网 络 ( 如 Internet) 发 送 的 IP 头 中 对 其 进行 封装 。 

第 二 层 隧道 协议 (L2TP 协议 ) 是 一 种 基于 PPP 协议 的 二 层 隧道 协议 ,其 报 文 封装 在 
UDP 之 上 ,使 用 UDP 1701 端口 。L2TP 没有 任何 加 密 措施 ,通常 和 IPSec 协议 结合 使 用 ， 
提供 隧道 验证 。 它 是 典型 的 被 动 式 隧道 协议 ,可 从 客户 端 或 访问 服务 器 端 发 起 VPN 连接 。 
在 L2TP 构建 的 VPN 网 络 中 ,主要 有 L2TP 访问 集中 器 (LAC) 和 L2TP 网 络 服务 器 (LNS) 
两 种 关键 的 网 络 设备 。 其 中 ,LAC 支持 客户 端的 L2TP, 用 于 发 起 呼叫 、 接 收 呼叫 和 建立 隧 
道 ,是 一 种 附属 在 网 络 上 的 具有 PPP 端 系统 和 L2TPv2 协议 处 理 能 力 的 设备 。LNS 是 PPP 
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端 系 统 上 用 于 处 理 L2TP 服务 器 端 部 分 的 软件 ,是 所 有 隧道 的 终点 。LNS 终止 所 有 的 PPP 
流 。 在 传统 的 PPP 连接 中 ,用 户 拨号 连接 的 终点 是 LAC; L2TP 使 得 PPP 的 终点 延伸 
到 LNS。 
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方案 设计 如 表 16-1 所 示 。 
表 16-1 方案 设计 


任务 名 称 ”| VPN 服务 器 的 配置 与 管理 

1. 远程 访问 VPN 的 配置 

(1) 配置 VPN 服务 器 

(2) VPN 网 络 客户 端的 设置 

(3) VPN 连接 检测 

2. 点 对 点 通信 VPN 连接 的 配置 

(1) 创建 IPSec 策略 

(2) 建立 从 A 到 B 的 筛选 器 列表 

(3) 建立 从 B 到 A 的 筛选 器 列表 

(4) 为 A 到 BB 隧道 配置 规则 

(5) 为 B 到 A 隧道 配置 规则 

(6) 将 新 的 IPSec 策略 指派 

3. VPN 服务 器 的 系统 管理 

(1) 连接 及 登录 

(2) VPN 服务 器 的 系统 管理 

.能 配置 VPN 服务 器 

.能 对 VPN 网 络 的 客户 端 进行 设置 
. 能 测试 VPN 连接 

.能 创建 IPSec 策略 

.能 创建 第 选 器 列表 和 隧道 配置 规则 
.能 将 新 的 IPSec 策略 指派 

. 能 连接 并 登录 VPN 服务 器 

. 能 对 VPN 服务 器 进行 系统 管理 

. 熟悉 VPN 的 功能 

. 了 解 VPN 的 技术 优势 

. 了 解 VPN 的 应 用 分 类 、 网 络 结构 分 类 和 接 入 方式 分 类 
. 了 解 VPN 的 典型 协议 SSL VPN IPSec VPN、PPTP 和 L2TP 
. 掌握 网 络 安全 行业 的 基本 情况 

. 培养 良好 的 职业 道德 

. 树立 较 强 的 安全 意识 

. 培养 吃苦 耐劳 实事求是 一丝不苟 的 工作 态度 
. 培养 分 析 能 力 和 应 变 能 力 


任务 分 解 


能 力 目 标 


知识 目标 


素质 目标 


oo 
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为 了 完成 本 工作 任务 ,又 细 分 为 以 下 3 个 子 任务 。 
16.4.1 任务 1: 远程 访问 VPN 的 配置 


1. 任务 目标 

VPN 服务 器 有 两 个 网 络 接口 ,一 边 连接 内 部 网 络 ; 一 边 连接 外 部 网 络 。 远 程 或 家 庭 办 
公用 户 A 主机 若 要 与 VPN 服务 器 通过 公 网 连通 ,但 没有 完成 VPN 配置 ,A 主机 不 能 直接 
访问 总 公司 内 的 B 主 机。 配置 完成 后 ,A 主机 能 ping 通 B 主机, 说明 VPN 建立 成 功 。 


2; 工作 任务 

(1) 配置 VPN 服务 器 ; 

(2) VPN 网 络 客 户 端 的 设置 ; 
(3) VPN 连接 检测 。 


3. 工作 环境 
两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相 连 , 其 中 一 台 有 两 张 网 卡 。 


4, 实施 过 程 

(1) 配置 VPN 服务 器 

Q@ 单 击 “ 开 始 ”>“ 所 有 程序 ”>“ 管 理工 具 ”, 然 后 选择 “路 由 和 远程 访问 项 ”, 进 入 主 窗 
口 。 在 左边 窗 格 的 “路 由 和 远程 访问 " 栏 中 选中 “服务 器 状态 ”下 的 服务 器 ,然后 右 击 ,再 选择 
“配置 并 启用 路 由 和 远程 访问 ”, 如 图 16-1 所 示 。 
四 


文件 中 ”操作 (a) 走 看 v) 帮助 9 
| 和 + 和 | 国 |X 辐 日 | 外 加 | 


| 
国 服务 器 状态 
已 | 访问 服务 器 


天 击 “配置 并 司 用 路 由 


图 16-1 配置 并 启用 路 由 和 远程 访问 


@ 出 现 提示 向 导 后 , 单 击 “ 下 一 步 ” 按 钮 。 在 配置 中 选择 “虚拟 专用 网 (VPN) 访 问 和 
NAT”, 然 后 单 击 " 下 一 步 ” 按 钮 。 

@ 在 “VPN 连接 ”对 话 框 中 ,选择 VPN 服务 器 端 与 外 网 连接 的 网 卡 , 如 图 16-2 所 示 。 

@ 单 击 “ 下 一 步 ” 按 钮 ,在 “IP 地 址 指定 ?对 话 框 中 ,对 远程 氢 入 客户 指派 IP 地 址 来 源 ， 
可 以 利用 VPN 服务 器 为 连接 上 来 的 客户 机 指定 地 址 范围 , 如 图 16-3 所 示 。 
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路 由 和 远程 访问 服务 器 安装 向 导 
WP 连接 
要 多 许 VPR 客户 入 接 到 此 四 务 器 ， 至少 要 有 一 个 接口 近 到 Dm 
迄 择 和 此 服务 器 渤 按 到 Taternet 的 网 络 拉 D。 
接口 四， 


医 | 理 地 址 
内 网 Vihware Accelerate 192. 168.31.3 
外 网 Viwere Accelerate 200 1 11 


人 通过 设置 基本 防火 墙 末 对 选择 的 接口 进行 保护 EE)。 
基本 防火 墙 防止 未 授权 的 用 户 通过 Internet 访问 此 服务 器 。 


有 关 网 络 接口 的 更 多 信息 ， 请 参阅 路 由 和 远程 访问 帮助 。 


wm | 


图 16-2 “VPN 连接 ”对 话 框 


@@ 单 击 “ 下 一 步 ”" 按 钮 ,在 “地 址 范围 指定 ”对 话 框 中 单 击 “ 新 建 ”按钮 。 在 “新 建 地 址 范 
围 ” 对 话 框 中 ,输入 起 始 IP 地 址 和 结束 IP 地 址 ,例如 192. 168. 31. 100 一 192. 168. 31. 109， 
然后 单 击 “ 确 定 ” 按 钮 。 

@ 单 击 “ 下 一 步 ” 按 钮 ,选择 不 与 RADIUS 一 起 工作 。 然 后 单 击 “ 完 成 ”按钮 ,完成 后 就 
可 以 接收 VPN 客户 端的 拨 入 。 

@ 配置 VPN 服务 器 中 的 远程 访问 策略 ,允许 远程 用 户 在 任何 时 间接 入 ,如 图 16-4 
所 示 。 

@ 新 建 一 个 系统 用 户 名 、 密 码 均 为 vpn-user 的 账号 ,并 在 用 户 属性 中 设置 拨 入 允许 
VPN 访问 ,如 图 16-4 所 示 。 


了 xx| 
路 由 和 远程 访问 服务 器 安装 向 导 第 规 。 | 妹 怕 于 | 配置 文件 | 环境 | 会 话 | 
JI? 地 址 指定 es 远程 控制 。 “| 终端 服务 配置 文件 执 
悠 可 以 选择 对 运程 客户 揣 指 派 IF 地 址 的 方法 。 Dm -运程 沪 间 权限 驴 和 或 YD 
| 
悠 想 如 何 对 运程 客户 出 派 TP 地 址 ? 个 拒 培 访问 岂 ) 
站 动 的 个 通过 远程 访问 第 咯 控制 访问 @) 
i iE DD): == 
人 联 自 个 指定 的 于 本 范 围 多 ] 
EET 人 不 回 拔 民 ) 
个 由 呵 叫 方 设置 疏 路 册 和 运程 访问 服务 ) G) 
总 是 回 扰 到 中) 
厂 分 本 得 态 下 地 址 G) 
十 应 用 租 才 路 由 国 一 一 一 一 一 一 一 一 一 一 一 一 
为 此 拔 入 连接 定义 要 启 用 的 路 由 。 C2 
《上 - 步 思 [下 一步 加 站 取消 取消 应 用 () 


图 16-3 “IP 地 址 指定 ”对 话 框 图 16-4 “vpn-user 属性 ”对 话 框 
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(2) VPN 网 络 客 户 端的 设置 
| 新 建 “ 网 络 连 接 ”, 然 后 选择 “连接 到 我 的 工作 场所 的 网 络 ” 选 项 ,如 图 16-5 所 示 。 


新 建 连接 向 导 


网 络 连接 类 型 
您 想 做 什么 ? Ey 


4 


EE Internet (C) 
连接 到 Internet , 这 样 修 就 可 以 浏览 heb 或 阅读 电子 邮件 。 


涟 接 到 我 的 了 作 场 所 的 网 络 上 
Da ( 便 用 氢 导 或 VFN) ， 这 样 您 就 可 以 在 家 里 或 者 其 他 地 
三 设置 高 级 连接 于 ) 
口 ， 事 口 oo 计算 机 ,或 设置 此 
3 直接 连接 到 /其 地 计算 机 ， 或 设置 此 计算 机 使 其 他 


《上 一 步 亿 [下 一 步 加 站 取消 


16-5 “网 络 连接 类 型 ”对话 框 


四 单 击 “ 下 一 步 ” 按 钮 ,选择 “虚拟 专用 网 络 连接 ”选项 ,如 图 16-6 所 示 。 


新 建 连接 向 导 


网 络 连 接 < 
悠 想 要 在 工作 点 如 何 与 网 络 连 按 ? 2) 


创建 下 列 连 接 : 


三 撤 号 连接 @) 
Et 或 通过 综合 业务 数字 网 CSDND) 电 话 线 连 


2 
合用 庶 拟 专用 网 络 WE 有 通过 Internet 连接 到 网 络 。 


< 上- 步 如 [一步 加 取消 


图 16-6 “网 络 连 接 ” 对 话 框 


@ 输入 VPN 服务 器 的 IP 地 址 ,再 按照 提示 完成 VPN 客户 端的 设置 ,如 图 16-7 所 示 。 
@ 完成 后 进行 连接 ,要 求 输入 VPN 服务 器 上 允许 远程 拨 入 的 用 户 名 和 密码 ,如 图 16-8 


所 示 。 
(3) VPN 连接 检测 


在 VPN 客户 端正 确 连 接 到 VPN 服务 器 之 后 ,任务 栏 会 有 类 似 本 地 连接 的 VPN 连接 


图 标 出 现 。 


在 VPN 客户 机 系统 中 运行 cmd 命令 。 在 命令 行 窗口 执行 ipconfig, 可 以 查看 到 客户 机 
已 经 获取 的 新 地 址 与 内 部 网 络 在 同一 个 网 段 内 了 ,如 图 16-9 所 示 。 此 时 ,在 客户 机 上 ping 


内 网 段 IP, 已 经 可 以 ping 通 。 
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新 建 连接 向 导 


YE 服务 器 选择 
YEN 服务 器 的 名 称 或 地 址 是 什么 ? 


输入 您 正 连 授 的 计算 机 的 主机 名 或 了 地 址 。 


主机 名 或 I 地 址 (例如 ，microsoft com 或 157.54.0.1) 加 
| 


< 上 一 步 (B) 取消 


图 16-7 “VPN 服务 器 选择 ”对 话 框 


31x| 


用 户 各 WD [mms 


密码 ) FT 
厂 为 下 面 用 户 保存 用 户 名 和 密码 (8) 


辣 吕 旦 我 人 0 
全 性 癌 合用 上 


取消 | 属性 @) | 下 助人 D 


图 16-8 连接 VPN 服务 器 对 话 框 图 16-9 VPN 连接 检测 


16.4.2 任务 2: 点 对 点 通信 VPN 连接 的 配置 

1. 任务 目标 

为 了 实现 企业 内 部 网 的 两 台 主 机 之 间 安 全 通信 , 即 单机 到 单机 结构 中 都 采用 Windows 
系统 时 的 VPN 连接 ,配置 主机 A 和 主机 B 之 间 的 数据 采用 安全 的 VPN 进行 连接 (IPSec 
的 VPN)。 

2, 工作 任务 

(1) 创建 IPSec 策略 ; 

(2) 建立 从 A 到 了 B 的 筛选 器 列表 ; 

(3) 建立 从 B 到 A 的 筛选 器 列表 ; 

(4) 为 A 到 B 隧道 配置 规则 ; 

(5) 为 B 到 A 隧道 配置 规则 ; 

(6) 将 新 的 IPSec 策略 指派 。 


229 


280 


网 络 安全 部 署 


3. 工作 环境 
两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 。 


4. 实施 过 程 

假定 两 台 预 装 Windows Server 2003/XP 的 主机 A 和 B 处 于 同一 局 域 网 中 , 即 同一 网 
段 ,A 的 IP 地址 是 192.168.31.3,B 的 IP 地 址 是 192. 168. 31. 111。 配 置 实现 A 和 了 B 安 全 
的 ICMP 通信 ,对 ICMP 协议 进行 VPN 加 密 传输 。 具 体 的 操作 步骤 如 下 所 示 。 

(1) 创建 IPSec 策略 

Q@ 单 击 “开始 ”>* 运 行 ", 然 后 输入 “secpol. msc” 启 动 * 本 地 安全 设置 ”。 

@ 而 击 “IP 安 全 策略 ,在 本 地 计算 机 ”, 在 弹出 的 快捷 菜单 中 选择 “创建 卫 安 全 
策略 ”。 

@ 单 击 “下 一 步 ?按钮 ,然后 输入 策略 名 称 "IPSec 策略 ”, 再 单 击 * 下 一 步 ?按钮 。 

@ 撤 选 “激活 默认 响应 规则 ? 复 选 框 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

@ 保持 “编辑 属性 ? 复 选 框 选中 状态 , 单 击 “ 完 成 按钮 。 

(2) 建立 从 A 到 B 的 筛选 器 列表 

@ 弹出 “IPSec 策略 属性 ?对 话 框 , 撤 选 窗口 右 下 角 ”* 使 用 添加 ”向导 ? 复 选 框 ,然后 单 
击 “ 添 加 ”按钮 ,创建 新 IP 安全 规则 ,如 图 16-10 所 示 。 

@ 弹出 “新 规则 属性 "对话 框 ,选择 “IP 筛选 器 列表 ”选项 卡 , 然 后 单 击 “ 添 加 ”按钮 ,如 
图 16-11 所 示 。 


IPSec 策略 属性 eae] 新 规则 属性 7x| 
规则 | 第 抽 | 匡 清光 器 列表 | 第 寺 器 操作 | 身份 验证 方法 | 隆 道 设置 | 注 接 关 型 | 
号 和 其 他 计算 机 通信 的 安全 规则 导 多 了 ti 定 了 哪个 赂 伟 格 殉 此 规则 


适用 于 该 计算 机 与 任何 其 好? 


适用 于 该 计算 机 到 任何 其 他 计 ， 


取消 应 用 芭 ) 
图 16-10 “规则 ?选项 卡 (1) 图 16-11 “IP 筛选 器 列表 ”选项 卡 (1) 


@ 弹出 “IP 筛选 器 列表 ”对 话 框 ,在 名 称 文本 框 输入 新 IP 筛选 器 列表 名 称 "A 到 B 筛选 
器 列表 ”, 再 撤 选 右 侧 “使 用 添加 向 导 ?” 复 选 框 ,然后 单 击 “添加 ?按钮 ,如 图 16-12 所 示 。 

@ 弹出 *IP 筛选 器 属性 ”对 话 框 ,选择 “地 址 ”选项 卡 。 在 “ 源 地 址 ”下 拉 列 表 框 中 ,选择 
“一 个 特定 的 IP 地址 ”, 输 入 A 的 IP 地址 ”192.168.31.3”; 在 “目的 地 址 ”下 拉 列 表 框 中 , 选 
择 “ 一 个 特定 的 IP 地址 ”, 输 入 B 的 IP 地址 "192. 168. 31. 111”, 并 撤 选 “镜像 ” 复 选 框 , 如 
图 16-13 所 示 。 
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画 IP 筛选 器 列表 ?| x| 


= ee i 亚 地 址 和 协议 可 被 


En 


图 16-12 “IP 筛选 器 列表 ”对话 框 (1) 


@@ 选择 “协议 ”选项 卡 , 将 协议 类 型 设置 为 “任意”, 因为 IPSec 隧道 不 支持 协议 或 端口 
特定 的 筛选 器 。 

@ 选择 “描述 ”选项 卡 ,可 以 为 IP 筛选 器 指定 一 个 名 称 或 简短 描述 ,然后 单 击 “ 确 定 ” 
按钮 。 

(3) 建立 从 也 到 A 的 筛选 器 列表 

@D 返回 “新 规则 属性 "对话 框 ,选择 “IP 筛选 器 列表 ”选项 卡 , 然 后 单 击 “添加 ”按钮 ,如 
图 16-14 所 示 。 


IP 筛选 器 属性 了 [xl 新 规则 属性 Tx| 
地 址 | 协议 | 描述 | 匡 清光 器 列表 | 第 过 器 操作 | 身份 验证 方法 | 隆 道 设置 | 连接 关 型 | 

| 源 地 址 G): 

FRR | 村 了 tp 了 哪个 内 人 格 交 此 规则 


亚 地 址 Gj: | 192 . 168 . 31 . 3 


子 网 乔 码 好 255 . 255 . 255 . 255 


六 上 村 地 址 @) 〇 所 有 ICIP 通信 适用 于 该 计算 机 与 任何 其 地 计 
个 情 定 的 立 地址 S| 所 有 IF 通信 适用 于 该 计算 机 到 任何 其 地 计 


王 地 址 ij: | 192 .168 . 31 . 111| 
了 255 ,255 . 255 . 255 


厂 镜像 。 与 源 地 址 和 目标 地 址 正好 相反 的 数据 包 相 [U2 0)。 


编辑 区 ) El 


关闭 | 了 消 应 用 [Ci 


图 16-13 “地 址 ”选项 卡 (1) 图 16-14 “IP 筛选 器 列表 ?选项 卡 (2) 


@ 弹出 “IP 筛选 器 列表 "对话 框 ,在 名 称 文本 框 输入 新 IP 筛选 器 列表 名 称 “B 到 A 筛选 
器 列表 ”, 再 撤 选 右 侧 “使 用 添加 向 导 ?” 复 选 框 ,然后 单 击 “添加 ?按钮 ,如 图 16-15 所 示 。 

@ 弹出 “IP 筛选 器 属性 ”对 话 框 ,选择 “地 址 ”选项 卡 。 在 “ 源 地 址 ”下 拉 列 表 框 中 ,选择 
“一 个 特定 的 人 地址”, 输入 B 的 IP 地址 *192.168.31.111”; 在 “目的 地 址 "下拉 列 表 框 中 ， 
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选择 “一 个 特定 的 IP 地址 ”, 输 入 A 的 IP 地 址 “192. 168. 31. 3”, 并 撤 选 “镜像 ” 复 选 框 ,如 
图 16-16 所 示 。 


IP 第 选 器 属性 了 xl 
地 址 | 协议 | 给 述 | 
家 地 址 @): 
一 个 特 定 的 开 地 址 二 
国 IP 节选 咽 列 表 x 理 增 址 四; 「 192 . 168 .31 .111 
子玉， 多 个 子 网 . 卫 地 it 可 该 a 
党 
[AR == 
Ee 一 个 特 定 的 开 地 址 二 
本 时 于 理 增 址 ;| 192 . 168 . 31 . 3 
三品 全 FS 
ES rc TT 子 问 掩 到 应 [TR 
-通信 协议 I] 目标 端口 _ 
到 
mwa Cue ]_ ws | 
16-15 “IP 筛选 器 列表 ?对 话 框 (2) 16-16 “地 址 ?选项 卡 (2) 


@ 选择 “协议 ”选项 卡 , 将 协议 类 型 设置 为 “任意 ”, 因 为 IPSec 隧道 不 支持 协议 或 端口 
特定 的 筛选 器 。 

@ 选择 “描述 ”选项 卡 ,为 IP 筛选 器 指定 一 个 名 称 或 简短 描述 ,然后 单 击 “ 确 定 ” 按 钮 。 

@ 单 击 “ 确 定 ” 按 钮 。 

(4) 为 A 到 B 隧道 配置 规则 

Oz 返回 “新 规则 属性 "对话 框 ,选择 “IP 筛选 器 列表 ”选项 卡 , 然 后 选中 “A 到 B 筛选 器 
列表 ”, 如 图 16-17 所 示 。 

@ 单 击 “ 隧 道 设置 "选项 卡 , 单 击 “ 隧 道 终点 由 此 IP 地 址 指定 ” 框 ,然后 输入 IP, 这 是 分 
配给 非 Microsoft 网 关外 部 网 络 适配器 的 IP 地 址 ,如 图 16-18 所 示 。 


新 规则 属性 xj 新 规则 属性 xl 
节 第 党 器 列表 | 六 过 器 换 作 | 身份 验证 方法 | 隆 道 设置 | 连接 类 型 | IH 第 过 器 列表 | 第 过 器 操作 | 身份 驻 证 方法 隧道 设置 | 这 接 类 型 | 
Br EM 
ee IPSec 隧道 。 


个 此 规则 不 指定 IPSec 隧道 四) 
请 尘 他 隆 道 阁 . 地 址 指定 吕 ) 
8 全 IA 清 沈 吕 列表 A a 
名 所 有 IC 通信 适用 于 该 计算 机 与 任何 其 他 计 | 


加 所 有 IF 通信 适用 于 该 计算 机 到 任何 其 他 计 - 


ED] 应 用 (A) 


图 16-17 “IP 筛选 器 列表 ”选项 卡 (3) 图 16-18 “隧道 设置 ?选项 卡 (1) 
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@ 单 击 “连接 类 型 ?选项 卡 ,选择 * 所 有 网 络 连接 ”。 注 意 ,如 果 不 是 ISDN 、PPP 或 直 连 
串 行 连接 , 则 单 击 * 局 域 网 LAN)”。 

@ 单 击 “ 筛 选 器 操作 ”选项 卡 , 撤 选 右 下 角 “ 使 用 添加 向 导 ” 复 选 框 ,然后 单 击 “ 添 加 ” 按 
钮 ,以 创建 新 的 筛选 器 操作 ,如 图 16-19 所 示 。 

@ 在 “新 筛选 器 操作 属性 ”对 话 框 的 “安全 措施 ”选项 卡 中 ,保持 “协商 安全 ”选项 为 启 
用 状态 ,并 撤 选 “接受 不 安全 的 通信 ,但 总 是 用 IPSec 响应 ” 复 选 框 ,然后 单 击 “ 添 加 ”按钮 ,如 
图 16-20 所 示 。 


新 规则 属性 xl 新 簿 选 器 操作 属性 了 xl 
JIP 第 选 器 列表 ”第 过 器 操作 | 身份 验证 方法 | 隧道 设置 | 连接 类 型 | 安全 措施 | 常规 | 
个 许可 虽 
六。 湖人 7 | 
个 协商 安全 如: 
请 过 器 操作 思 ) 安全 持 施 首选 顾 施 (8); 
Eo 3 Er 
厢 选 接受 不 安全 的 通信 ， 但 是 请 求 
〇 需要 安全 接受 不 安全 的 通信 ,但 总 是 请 LU | 
Oi 可 多 许 不 安全 的 IP 数据 包 经 过 。 了 
于 黎 咏 
1 | 于 移 厅 | 


厂 接受 不 安全 的 通信 ,但 总 是 用 IFSee 响应 化) 
厂 区 许 和 不 支持 IPSec 的 计算 机 进行 不 安全 的 通信 如 


| 使 用 会 活 窗 钥 完全 向 前 保密 FF5) 区 
添加 0). .| 编辑 EE 山 除 由 ) 厂 柄 用 王 而 机 村” 训 ] 厂 使 用 会 活 窗 崩 完 全 向 前 保密 CPF5) GE) 


ww | mw | maw | 
16-19 “筛选 器 操作 ”选项 卡 (1) 图 16-20 “安全 措施 ”选项 卡 (1) 


@ 保持 “完整 性 和 加 密 ” 选 项 为 选中 状态 , 单 击 “ 确 定 ” 按 钮 ,如 图 16-21 所 示 。 
@ 单 击 * 常 规 ? 选 项 卡 , 输 入 新 筛选 器 操作 的 名 称 "A 到 B 隧道 规则 ”, 并 单 击 “ 确 定 ” 按 
钮 ,如 图 16-22 所 示 。 


新 筛选 器 操作 属性 x| 
新 增 安全 措施 了 | xl 安全 描 施 第 规 | 
安全 措施 | 总 
全 为 此 第 选 器 拘 作 指定 一 个 名 称 和 详细 描述 。 
De , wm nn. 
个 仅 保持 完整 性 [) 
将 被 验证 为 可 信 并 且 没有 被 更 疏 ,但 将 不 会 被 加 

个 自 定义 @) 

设置 8) 


图 16-21 “新 增 安全 措施 ”对 话 框 (1) 图 16-22 “常规 ”选项 卡 
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@ 单 击 刚 创建 的 筛选 器 操作 “A 到 B 隧道 规则 ”, 将 其 选中 ,如 图 16-23 所 示 。 

单 击 “ 身 份 验 证 方法 ”选项 卡 ,配置 所 需 的 身份 验证 方法 。 如 果 为 了 测试 ,使 用 “ 预 共 
享 密 钥 ”, 否 则 使 用 “证 书 ”。 如 果 隧 道 的 两 个 终结 点 都 在 受信 任 域 中 ,并 且 在 隧道 的 IKE 协 
商 期 间 ( 在 建立 隧道 前 ) ,隧道 的 两 个 终结 点 都 可 以 访问 网 络 上 每 个 受信 任 域 的 IP 地 址 ,从 
技术 上 说 Kerberos 是 可 行 的 ,不 过 这 种 情况 很 少见 。 

@ 单 击 “关闭 ”按钮 。 

(5) 为 B 到 A 隧道 配置 规则 

QO 在 “IPSec 策略 属性 ”对 话 框 中 , 单 击 “ 添 加 ”按钮 ,以 创建 新 规则 ,如 图 16-24 所 示 。 


新 规则 属性 了 xd IPSec 策略 属性 x| 
第 沈 器 列表 ”第 选 器 拘 作 | 身份 验证 方法 | 隧道 设置 | 连接 类 型 | 规则 | 党 坑 | 


BE HR a 区 


EE 器 列表 TL rberos 


接受 不 安全 的 通信 ,但 是 请 求 
接受 不 安全 的 通信 ， 但 总 是 请 
允许 不 安全 的 I 数据 包 经 过 。 


庄 加 WD | 辆 得 国 | 出 除 和 | 厂 便 用 “添加 向 "所 4 副 
久 句 加 | 删除 @) | 厂 使 用 “添加 向 导 ”0) 
Cm ] ww | 

图 16-23 “筛选 器 操作 ”选项 卡 (2) 图 16-24 “规则 ”选项 卡 (2) 


@ 弹出 “新 规则 属性 ”对 话 框 ,选择 “IP 筛选 器 列表 ”选项 卡 , 然 后 单 击 创建 的 “B 到 A 
筛选 器 ?列表 ,将 其 选中 ,如 图 16-25 所 示 。 

@ 单 击 “ 隧 道 设置 ?选项 卡 ,再 单 击 “ 隧 道 终点 由 此 IP 地 址 指定 ? 框 , 然 后 输入 IP 地 址 ， 
这 是 分 配给 非 Microsoft 网 关外 部 网 络 适配器 的 IP 地 址 ,如 图 16-26 所 示 。 


新 规则 属性 xj 新 规则 属性 了 xx| 
J 了 请 光路 列表 | 各 过 器 换 作 | 身份 验证 方法 | 隘 道 设置 | 连接 关 型 | 了 短 光 器 列表 | 各 过 器 指 人 | 身份 验证 方法 。 隘 道 设置 | 这 接 类 型 | 
二 E 
清光 器 列表 指定 了 哪个 网 络 传输 格 受 此 规则 过 下 
二 了 三 全 
了 T 请 沈 器 列表 ; 
名 称 描述 T 个 此 规则 不 指定 IPSec 隆 道 吕 
大 道 终点 由 此 IP 地 址 指定 中); 
名 所 有 ICWF 通信 适用 于 该 计算 机 与 任何 其 他 计 ， 200 . 1 .1 .1 


所 有 IF 通信 适用 于 该 计算 机 到 任何 其 他 计 


wh | Rw 
图 16-25 “IP 筛选 器 列表 ”选项 卡 (4) 图 16-26 “隧道 设置 选项 卡 (2) 
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@ 选择 “连接 类 型 选项 卡 ,再 单 击 “ 所 有 网 络 连 接 ”。 注 意 ,如 果 不 是 ISDN、PPP 或 直 
连 串 行 连接 , 则 单 击 * 局 域 网 ILAN)”。 与 筛选 器 匹配 的 接口 类 型 上 的 所 有 出 站 通信 流 都 将 
尝试 通过 隧道 传输 到 在 规则 中 指定 的 隧道 终结 点 。 与 筛选 器 匹配 的 入 站 通信 流 将 被 丢弃 ， 
因为 它 的 接收 应 受到 IPSec 隧道 的 安全 保护 。 

@ 单 击 “ 筛 选 器 操作 ”选项 卡 , 撤 选 右 下 角 “ 使 用 添加 向 导 ” 复 选 框 ,然后 单 击 “ 添 加 ” 按 
钮 ,以 创建 新 的 筛选 器 操作 ,如 图 16-27 所 示 。 

@ 在 “新 筛选 器 操作 属性 ”对 话 框 的 “安全 措施 ”选项 卡 中 ,保持 “协商 安全 ”选项 为 启 
用 状态 ,再 撤 选 “接受 不 安全 的 通信 ,但 总 是 用 IPSec 响应 " 复 选 框 ,然后 单 击 “ 添 加 ”按钮 ,如 
图 16-28 所 示 。 


新 规则 属性 ?|x| 新 短 选 咽 操 作 属性 x 
J 往 光 器 列 表 第 渤 器 折 作 | 身份 验证 方法 | 隆 道 设置 | 连接 类 型 | 安全 措施 | 第 规 | 
个 许可 如 
.4 PE 个 阻止 
村 = ss 
〇 请 求 安全 呵 选 ) 接受 不 安全 的 通信 ,但 是 请 求 
人 〇 两 要 安全 接受 不 安全 的 通信 ， 但 总 是 请 . 
OW 可 外 许 不 安全 的 IP 数据 包 经 过 。 
厂 接受 不 安全 的 通信 ,但 总 是 用 IPSec 响应 (C) 
厂 区 许 和 不 支持 IPSec 的 计算 机 进行 不 安全 的 通信 他) 
TT LE | 。 出 隐 罗 | 厂 全 用 “二 加 向 导 ” 四 ES 
确定 取消 |。 应 用 他 ) 
图 16-27 “筛选 器 操作 ?选项 卡 (3) 图 16-28 “安全 措施 ”选项 卡 (2) 


@ 保持 “完整 性 和 加 密 ” 选 项 为 选中 状态 ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 16-29 所 示 。 
@ 单 击 “ 常 规 " 选 项 卡 ,输入 新 筛选 器 操作 的 名 称 “B 到 A 隧道 规则 ”, 并 单 击 “确定 ”按钮 。 
@ 单 击 刚 创建 的 第 选 器 操作 “B 到 A 隧道 规则 ”, 将 其 选中 ,如 图 16-30 所 示 。 

EE 


第 碗 器 列表 ”第 过 器 拘 作 | 身份 验证 方法 | 隆 道 设置 | 连接 类 型 | 


PETHARUEEREUnTFRE 


新 增 安全 措施 耻 x| 
安全 措施 | 


9 
he, wee Br. 


个 仅 保持 完整 性 I) 
信和 5H6 计 于 为 可 民间 上 没有 祝 更改， 但 插 不 会 镇 加 


个 自 定 义 台 ) 


设置 加 


接受 不 安全 的 通信 ,但 是 请 求 
接受 不 安全 的 通信 ， 但 总 是 请 
允许 不 安全 的 I 数据 包 经 过 。 


图 16-29 “新 增 安全 措施 ”对 话 框 (2) 图 16-30 “筛选 器 操作 ”选项 卡 (4) 
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四 选择 "身份 验证 方法 ?选项 卡 ,配置 在 第 一 个 规则 中 使 用 的 同一 种 方法 。 
@ 单 击 * 确 定 "按钮 ,确保 创建 的 这 两 个 规则 在 策略 中 都 已 经 启用 ,然后 再 次 单 击 * 确 


定 "按钮 。 
(6) 将 新 的 IPSec 策略 指派 


在 本 地 计算 机 MMC 管理 单元 上 的 “IP 安全 策略 ”中 , 右 击 “ 新 策略 ”, 然 后 单 击 “ 指 定 ”。 
该 策略 旁边 的 文件 夹 图 标 中 将 出 现 一 个 绿色 箭头 ,表示 已 经 启用 ,如 图 16-31 所 示 。 


文件 吕 ” 操 作 他 ”查看 wW 帮助 由 


各 小 外 | 国 日 世 | 久 田 | 作证 


描述 


起 国 审核 策略 
四 国 用 户 权 限 分 配 
由 国安 全 选项 
日 自 公 钥 第 略 
鳃 加 密 文件 系统 
鲁 软件 限制 策略 
最 人 P 安 全 第 略 ， 在 本 地 计算 机 


全 IPSec 策 略 

总 服务 器 (请 求 安 .， 对 所 有 人 p 通信 总 是 使 用 Kerb.… 
总 客户 端 ( 仅 响应 ) 正常 通信 (不 安全 的 )。 使 用 … 
国安 全 服务 器 ( 需 ,.,， 对 所 有 大 通讯 总 是 使 用 Kerb.， 


16-31 策略 指派 


16.4.3 ”任务 3: VPN 服务 器 的 系统 管理 
1. 任务 目标 


主要 描述 对 VPN 自身 进行 的 管理 操作 ,如 登录 用 户 管理 、 系 统 时 间 配 置 .SSH 控制 台 


管理 .HA 设置 管理 ,诊断 工具 管理 以 及 配置 信息 备份 和 还 原 等 。 


2. 工作 任务 
(1) 连接 及 登录 ; 
(2) VPN 服务 器 的 系统 管理 。 


3,. 工作 环境 

两 台 预 装 Windows Server 2003/XP 的 主机 ,通过 网 络 相连 ,其 中 一 台 有 两 张 网 卡 。 
4. 实施 过 程 

(1) 连接 及 登录 


Q@ 单线 接 第 1 组 蓝 盾 VPN 的 第 一 口 ,默认 IP 为 192. 168. 11. 3, 在 IE 输入 https:// 


192. 168.11.3; 第 2 组 蓝 盾 防 火 墙 第 一 口 ,默认 IP 为 192. 168. 
192.168. 12.3; 第 3 组 蓝 盾 防火 墙 第 一 口 ,默认 IP 为 192. 168. 
192. 168.13.3; 第 4 组 蓝 盾 防火 墙 第 一 口 ,默认 IP 为 192. 168. 
192.168. 14.3; 第 5 组 蓝 盾 防 火 墙 第 一 口 ,默认 IP 为 192. 168. 
192. 168.15.3; 第 6 组 蓝 盾 防 火 墙 第 一 口 , 默 认 IP 为 192. 168. 
192. 168. 16.3; 第 7 组 蓝 盾 防火 墙 第 一 口 ,默认 IP 为 192. 168. 
192.168.17.3; 第 8 组 蓝 盾 防 火 墙 第 一 口 , 默 认 IP 为 192. 168. 
192. 168. 18. 3。 统 一 用 户 密码 为 admin/admin 。 


12. 
13. 
14. 
15. 
16. 
17, 
18. 


3; 在 下 输入 https:// 
3; 在 IE 输入 https:// 
3; 在 正 输 入 https:// 
3; 在 下 输入 https:// 
3; 在 IE 输入 https:// 
3; 在 正 输 入 https:// 
3; 在 下 输入 https:// 


壬 作 任 务 十 六 “VPN 服务 器 的 配置 与 管理 


@ 配置 管理 口 IP, 单 击 “ 网 络 设置 ”>“ 接 口 设置 ”, 然 后 对 所 需 的 网 口 进行 配置 ,这 里 选 
择 LAN2 口 。 选 择 “ 编 辑 ”, 配 置 如 图 16-32 所 示 。 


iw i | ”ESS 


1 0 55 750 
ET TT 
MIO 10 0 758260 


图 16-32 “接口 设置 ”窗口 


@ 单 击 “ 编 辑 ”" 后 ,出 现 “物理 接口 "设置 窗口 ,如 图 16-33 所 示 。 


六 六 BE Wek 二 
网 结 议 置 > 锣 和 接口 
鞠 理 本 口 Es: 3 
二 一 一 一- 一 
接口 设置 E 
圳 志 路 由 os 
六 
ey 
Ld 
RE OO 
I 可 日 
一 
ET 回 hrre5 回 SH Poe 
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图 16-33 “物理 接口 "设置 窗口 


@ 配置 所 需 IP 后 ,保存 即 可 。 

GO 配置 静态 路 由 , 单 击 “ 网 络 设置 ”> 静态 路 由 ”, 然 后 选择 “添加 ”, 再 单 击 “ 保 存 ” 按 
钮 ,如 图 16-34 所 示 。 

(2) VPN 服务 器 的 系统 管理 

系统 管理 包括 系统 信息 、 系 统 设置 .登录 管理 ,配置 管理 .SSH 控制 台 、HA 设置 和 诊断 工具 。 

@ 单 击 “系统 管理 ”>“ 系 统 设置 "按钮 ,进入 “系统 设置 "页 面 ,如 图 16-35 所 示 。 

系统 设置 用 于 配置 VPN 系统 的 基本 信息 ,系统 设置 页 面 中 的 “语言 ?是 指 网 页 显示 的 
语言 ;“ 主 机 名 ”是 VPN 服务 器 的 主机 名 ,要 求 最 长 10 个 字符 ;“ 域 名 ” 指 VPN 服务 器 的 域 
名 ;“ 当 前 日 期 ” 设 定 为 系统 当前 的 日 期 ;“ 当 前 时 间 ? 是 系统 当前 的 时 间 ;“ 工 作 模式 ?是 
VPN 服务 器 使 用 的 工作 模式 。 

@ 单 击 “ 系 统管 理 ”“ 系 统 配置 ”登录 管理 ?按钮 ,进入 “登录 管理 ”页面 , 如 图 16-36 
所 示 。 
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“登录 管理 ”用 于 管理 用 户 ,包括 登录 管理 和 权限 管理 。admin 可 以 管理 所 有 用 户 , 除 了 
不 能 删除 admin 用 户 、 修 改 admin 用 户 权限 外 ,可 以 拥有 最 大 权限 。 另 外 ,admin 可 以 查看 
用 户 的 最 后 登录 信息 ,其 他 用 户 只 能 查看 自身 的 最 后 登录 信息 。 
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@ 单 击 “ 添 加 ”按钮 ,进入 用 户 添 加 界面 ,如 图 16-37 所 示 。 
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图 16-37 添加 用 户 


“基本 信息 ”为 必 填 项 ,包括 用 户 名 、 密 码 、 最 大 尝试 次 数 与 有 效 时 间 。“ 权 限 ” 为 可 选项 ， 
除了 admin 与 audit 用 户 不 能 修改 外 ,其 他 的 由 客户 自由 配置 。 

@ 单 击 “系统 管理 ”系统 配置 ”> 配置 管理 ”按钮 ,进入 “配置 管理 页面。 此 项 用 于 
保存 当前 最 新 配置 信息 ,以 及 还 原初 始 化 。 

@ 单 击 “ 系 统管 理 ”>“ 系 统 配置 ">“SSH 控制 台 ” 按 钮 ,进入 “SSH 控制 台 ” 页 面 ,这 里 
可 以 不 需要 借用 专门 的 SSH 工具 就 能 进入 VPN 后 台 配 置 管理 。 但 进入 “SSH 控制 台 ” 需 
要 计算 机 安装 Java 软件 包 , 不 然 无 法 操作 。Java 软件 包 可 在 http://www. java. com 下 载 。 

@ 单 击 “ 系 统管 理 ”>“HA 设置 ?按钮 ,进入 "HA 设置 ”页面 ,可 以 对 HA 群集 进行 设 
置 ,如 图 16-38 所 示 。 
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16-38 HA 设置 


在 页 面 中 选中 “HA 启用 ”功能 框 即 启 动 HA 管理 ，HA 心跳 保持 HA 状态 信息 的 连续 
通信 ,确保 群集 工作 正常 ,可 以 通过 下 拉 框 选择 需要 设置 为 心跳 的 接口 。HA 心跳 接口 相互 
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通信 群集 会 话 信息 、 保 持 同 步 的 群集 配置 与 群集 路 由 表 并 通报 各 个 群集 设备 的 状态 信息 。 
“VHID? 是 虚拟 IP 标识 符 ,心跳 内 部 通信 所 用 .“ 密 码 ” 是 共享 的 ,在 网 络 上 不 是 明文 传送 ， 
心跳 内 部 通信 和 所用。 应 该 设置 只 监控 与 网 络 连接 的 接口 ,因为 监控 一 个 未 连接 的 接口 可 能 
发 生 连 接 故 障 。“ 监 控 接 口 必 选 , 且 可 以 选择 多 个 ,但 不 能 与 “心跳 接口 ?相同 。 如 果 被 监控 
的 接口 发 生 故障 ,例如 ,从 网 络 断 开 或 断 开 与 群集 的 连接 ,会 发 生 链 接 故障 。 链 接 故 障 使 群 
集 对 该 接口 处 理 的 数据 包 重 新 路 由 到 群集 中 其 他 与 网 络 连接 的 设备 ,因此 该 设备 成 为 新 的 主 
设备 。 当 断 开 的 网 线 重新 连接 时 ,可 以 重新 建立 通过 该 接口 的 流量 ,接口 将 重新 加 入 群集 。 

@ 单 击 “ 保 存 " 按 钮 后 ,如 果 “HA 启用 ”功能 框 被 启用 ,在 页 面 会 出 现 主机 当前 的 运 
状态 : 主 服务 器 或 是 从 服务 器 。 当 主机 运行 状态 改变 时 ,需要 刷新 页 面 ,让 其 显示 新 的 运 
状态 。 当 “HA 启用 ”功能 框 被 禁用 时 ,主机 运行 状态 会 被 隐藏。 

@ 单 击 “ 系 统管 理 ”>“ 诊 断 工具 ”按钮 ,进入 诊断 工具 页 面 。 常 见 的 诊断 工具 有 ping、 


nslookup 和 traceroute。 


行 
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1. VPN 的 “物理 接口 ?设置 界面 中 ,各 种 图 标的 含义 是 什么 ? 

答 : 图 标 办 表示 该 功能 启用 ,图 标 名 表示 该 功能 禁用 ; 图 标 全 表示 该 接口 运行 状态 
正常 ,图 标 @ 表示 该 接口 运行 状态 异常 ; 单 击 图 标 转 可 以 对 相应 的 网 络 接口 进行 编辑 。 

2. 如 何 保证 VPN 的 安全 性 ? 

答 : VPN 的 安全 性 取决 于 使 用 的 隧道 协议 和 身份 认证 协议 ,以 及 应 用 于 VPN 连接 的 
加 密级 别 。 在 TCP/IP 协议 簇 中 ,在 数据 链 路 层 可 以 利用 L2F、PPTP、L2TP 协议 实现 VPN 
应 用 ; 在 网 络 层 可 以 利用 IPSec 协议 实现 VPN 应 用 ; 在 传输 层 利用 SSL 或 TLS 协议 实现 
VPN 应 用 。 但 是 在 Windows Server 2003 的 “路 由 和 远程 访问 ”中 , 仅 支 持 PPTP 和 L2TP 
两 种 隧道 协议 来 实现 VPN 服务 。 使 用 点 对 点 隧道 协议 (PPTP)、 点 对 点 协议 (PPP) 身 份 认 
证 协议 和 Microsoft 点 对 点 加 密 (MPPE) 来 加 密 IP 通信 。 第 二 层 隧道 协议 (L2TP) 使 用 
PPP 用 户 身 份 认证 协议 和 Internet 协议 安全 性 (IPSec) 来 加 密 IP 通信 ,L2TP 将 数据 封装 
在 PPP 帧 中 传输 。 


166 过 关 练 习 


一 、 选 择 题 
1. 关于 虚拟 专用 网 ,下 面 正确 的 语句 是 ( js 
A. 安全 套 接 层 协 议 (SSL) 是 在 应 用 层 和 传输 层 之 间 增 加 的 安全 机 制 , 可 以 用 SSL 
在 任何 网 络 上 建立 虚拟 专用 网 
B. 安全 套 接 层 协 议 (SSL) 的 缺点 是 进行 服务 器 端 对 客服 端的 单 向 身份 认证 
C. 安全 IP 协议 (IPSec) 通 过 认证 头 (AH) 提 供 无 连接 的 数据 完整 性 和 数据 源 认 证 、 
数据 加 密 性 保护 和 抗 重 发 攻击 服务 
D. 当 IPSec 处 于 传输 模式 时 , 报 文 不 仅 在 主机 到 网 关 之 间 的 通路 上 加 密 , 而 且 在 发 
送 方 和 接收 方 之 间 的 所 有 通路 上 都 要 加 密 
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2. IPSec VPN 安全 技术 没有 用 到 ( »; 
A. 隧道 技术 B. 加 密 技 术 C. 入 侵 检 测 技术 D. 身份 认证 技术 
3. 实现 VPN 的 关键 技术 主要 有 隧道 技术 、 加 解密 技术 、( ) 和 身份 认证 技术 。 


A. 入 侵 检 测 技术 B. 病毒 防治 技术 
C. 安全 审计 技术 D. 密 钥 管 理 技术 
4. 如 果 需 要 在 传输 层 实现 VPN ,可 选 的 协议 是 ( ys 
A. L2TP B. PPTP G: TES D. IPSec 
二 , 填空 题 
1. IPSec 的 密 钥 管理 包括 密 钥 的 确定 和 分 发 ,IPSec 支持 和 两 种 密 钥 
管理 方式 。 


2. IPSec 是 IETF 以 RFC 形式 公布 的 一 组 安全 协议 集 , 它 包括 AH 与 ESP 两 个 安全 机 
制 ,其 中 不 支持 保密 服务 。 


3. 在 Windows Server 2003 的 “路 由 和 远程 访问 ”中 提供 两 种 隧道 协议 来 实现 VPN 服 
务 : L2TP 和 。L2TP 协议 将 数据 封装 在 ” 协议 帧 中 传输 。 

三 、 简 答题 

1. 常见 的 VPN 隧道 协议 有 哪些 ? 

2. VPN 技术 的 优势 有 哪些 ? 

、 实 操 题 

实现 基于 Windows 的 VPN 通信 。 
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